Documentação do Oracle Cloud Infrastructure

Listas de Segurança

No Compute Cloud@Customer, uma lista de segurança atua como um firewall virtual para uma instância, com regras de entrada e saída que especificam os tipos de tráfego de entrada e saída permitidos.

Cada lista de segurança é aplicada no nível da VNIC. No entanto, você configura suas listas de segurança no nível da sub-rede, o que significa que todas as VNICs de determinada sub-rede estão sujeitas ao mesmo conjunto de listas de segurança.

As listas de segurança se aplicam a determinada VNIC se ela estiver se comunicando com outra instância na VCN ou com um host fora da VCN. Cada sub-rede pode ter várias listas de segurança associadas a ela, e cada lista pode ter várias regras.

Cada VCN vem com uma lista de segurança padrão. Se você não especificar uma lista de segurança personalizada para uma sub-rede, a lista de segurança padrão será usada automaticamente com ela. Você pode adicionar e remover regras na lista de segurança padrão. Ele tem um conjunto inicial de regras com monitoramento de estado, que devem ser alteradas para permitir apenas o tráfego de entrada de sub-redes autorizadas. As regras default são:

  • Entrada com monitoramento de estado: Permita tráfego TCP na porta de destino 22 (SSH) proveniente de endereços IP de origem autorizados e de qualquer porta de origem.

    Essa regra permite que você crie uma nova rede na nuvem e uma sub-rede pública, crie uma instância do Linux e use imediatamente o SSH para estabelecer conexão com essa instância sem que seja necessário criar regras de lista de segurança.

    A lista de segurança padrão não inclui uma regra para permitir acesso RDP ( Remote Desktop Protocol). Se você estiver usando imagens do Compute Cloud@Customer, adicione uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 proveniente de endereços IP de origem autorizados e de qualquer porta de origem.

  • Entrada com monitoramento de estado: para permitir tráfego ICMP do tipo 3 código 4 proveniente de endereços IP de origem autorizados.

    Essa regra permite que as instâncias recebam mensagens de fragmentação da Descoberta de MTU do Caminho.

  • Entrada com monitoramento de estado: para permitir tráfego ICMP do tipo 3 (todos os códigos) proveniente do bloco CIDR da sua VCN.

    Esta regra permite que as instâncias recebam mensagens de erro de conectividade de outras instâncias dentro da VCN.

  • Saída com monitoramento de estado: para permitir todos os tipos de tráfego.

    Isso permite que as instâncias iniciem um tráfego de qualquer tipo para qualquer destino. Isso implica que as instâncias com endereços IP públicos podem falar com qualquer endereço IP da internet, se a VCN tiver um gateway de internet configurado. E, como as regras de segurança com monitoramento de estado usam o rastreamento de conexões, o tráfego de resposta é permitido de forma automática, independentemente das regras de entrada.

Este é o processo geral de trabalho com listas de segurança:

  1. Crie uma lista de segurança.

  2. Adicione regras de segurança à lista de segurança.

  3. Associar a lista de segurança a uma ou mais sub-redes.

  4. Crie recursos, como instâncias de computação, na sub-rede.

    As regras de segurança se aplicam a todas as VNICs dessa sub-rede.

Ao criar uma sub-rede, você deve associar pelo menos uma lista de segurança a ela. Pode ser a lista de segurança padrão da VCN ou uma ou mais outras listas de segurança que você já criou. Você pode alterar quais listas de segurança a sub-rede usará a qualquer momento. Você pode adicionar e remover regras na lista de segurança. É possível que uma lista de segurança não contenha regras.

Para obter mais informações, consulte Controlando o Tráfego com Listas de Segurança.