Grupos de Segurança de Rede

No Compute Cloud@Customer, um grupo de segurança de rede (NSG) fornece um firewall virtual para um conjunto de recursos de nuvem, em uma única VCN, que todos têm a mesma postura de segurança. Por exemplo: um grupo de instâncias de computação em que todas executam as mesmas tarefas e, portanto, todas devem usar o mesmo conjunto de portas.

As regras em um NSG são impostas em VNICs, mas sua associação ao NSG é determinada por meio de seus recursos pais. Nem todos os serviços de nuvem suportam NSGs. Atualmente, os seguintes tipos de recursos pais suportam o uso de NSGs:

  • Instâncias do Compute: ao criar uma instância, você pode especificar um ou mais NSGs para a VNIC principal da instância. Se você adicionar uma VNIC secundária a uma instância, poderá especificar um ou mais NSGs para ela. Você também pode alterar a associação NSG de VNICs existentes.

  • Balanceadores de carregamento: Ao criar um balanceador de carregamento, você pode especificar um ou mais NSGs para o balanceador de carregamento (não o conjunto de backend). Você também pode atualizar um balanceador de carga existente para usar um ou mais NSGs.
  • Pontos de acesso NFS: Ao criar um ponto de acesso NFS para um sistema de arquivos, você pode especificar um ou mais NSGs. Você também pode atualizar um destino de montagem existente para usar um ou mais NSGs.

Para tipos de recursos que ainda não suportam NSGs, continue usando listas de segurança para controlar o tráfego de/para esses recursos pais.

Observação

Você não pode associar um Gateway de Internet a um NSG.

Um NSG contém dois tipos de elementos:

  • VNICs: uma ou mais VNICs; por exemplo, as VNICs anexadas ao conjunto de instâncias de computação em que todas têm a mesma postura de segurança. Todas as VNICs devem estar na VCN às quais o NSG pertence. Uma VNIC pode ter no máximo cinco NSGs.

  • Regras de segurança: regras que definem os tipos de tráfego permitidos dentro e fora das VNICs do grupo. Por exemplo: entrada de tráfego SSH na porta TCP 22 proveniente de uma origem específica.

Este é o processo geral para trabalhar com NSGs:

  1. Crie um NSG.

    Quando você cria um NSG, ele inicialmente está vazio, sem regras de segurança ou VNICs. Depois que o NSG for criado, você poderá adicionar ou remover regras de segurança para permitir os tipos de tráfego de entrada e saída que as VNICs do grupo requerem.

  2. Adicione regras de segurança ao NSG.

  3. Adicione recursos pais, ou mais especificamente VNICs, ao NSG.

    Ao gerenciar uma associação à VNIC do NSG, você faz isso como parte do trabalho com o recurso pai, não com o próprio NSG. Você pode fazer isso quando criar o recurso pai ou atualizar o recurso pai e adicioná-lo a um ou mais NSGs.

    Quando você cria uma instância de computação e a adiciona a um NSG, a VNIC principal da instância é adicionada ao NSG. Você pode criar VNICs secundárias separadamente e, opcionalmente, adicioná-las a NSGs.

Em comparação com as listas de segurança, há algumas diferenças no modelo da API REST para NSGs:

  • Com listas de segurança, há um objeto IngressSecurityRule e um objeto EgressSecurityRule separados. Com grupos de segurança de rede, só há um objeto SecurityRule e o atributo direction do objeto determina se a regra se destina a tráfego de entrada ou saída.

  • Com as listas de segurança, as regras fazem parte do objeto SecurityList e você trabalha com as regras chamando as operações da lista de segurança; por exemplo: UpdateSecurityList. Com NSGs, as regras não fazem parte do objeto NetworkSecurityGroup. Em vez disso, você usa operações separadas para trabalhar com as regras de um NSG específico; por exemplo: UpdateNetworkSecurityGroupSecurityRules.

  • O modelo para atualização de regras de segurança existentes é diferente para listas de segurança e NSGs. Com NSGs, cada regra em um grupo específico tem um identificador exclusivo. Quando chama UpdateNetworkSecurityGroupSecurityRules, você fornece os IDs das regras específicas que deseja atualizar. Com listas de segurança, as regras não têm identificador exclusivo. Quando chamar UpdateSecurityList, você deverá passar em toda a lista de regras, incluindo as regras que não estão sendo atualizadas na chamada.

  • Há um limite de 25 regras durante a chamada das operações para adicionar, remover ou atualizar regras de segurança.

Para obter mais informações, consulte Controlando o Tráfego com Grupos de Segurança de Rede.