Documentação do Oracle Cloud Infrastructure

Firewall Virtual

No Compute Cloud@Customer, o serviço Networking oferece dois recursos de firewall virtual que usam regras de segurança para controlar o tráfego no nível do pacote – listas de segurança e grupos de segurança de rede (NSGs). Eles oferecem diferentes maneiras de aplicar regras de segurança a um conjunto de placas de interface de rede virtual (VNICs).

  • Listas de segurança:

    Uma lista de segurança define regras de segurança no nível da sub-rede, o que significa que todas as VNICs em uma sub-rede específica estão sujeitas às mesmas regras. Cada VCN vem com uma segurança padrão que contém regras padrão para tráfego essencial. A lista de segurança padrão é usada automaticamente com todas as sub-redes, a menos que uma lista de segurança personalizada seja especificada. Uma sub-rede pode ter até cinco listas de segurança associadas.

  • Grupos de segurança de rede (NSGs):

    Um grupo de segurança de rede define regras de segurança com base na associação. Suas regras de segurança se aplicam a recursos adicionados explicitamente ao NSG. Uma VNIC pode ser adicionada a um máximo de cinco NSGs. Um NSG deve fornecer um firewall virtual para um conjunto de recursos de nuvem com a mesma postura de segurança. Por exemplo: um grupo de instâncias que executam as mesmas tarefas e, portanto, precisam usar o mesmo conjunto de portas.

A Oracle recomenda o uso de NSGs em vez de listas de segurança porque NSGs permitem separar a arquitetura de sub-rede da VCN dos requisitos de segurança do aplicativo. No entanto, os NSGs só são suportados para serviços específicos. É possível usar listas de segurança e NSGs juntos, dependendo de suas necessidades de segurança específicas.

Se houver regras de segurança que você deseja aplicar a todas as VNICs em uma VCN, a solução mais fácil será colocar as regras em uma lista de segurança e associar essa lista de segurança a todas as sub-redes na VCN. Dessa forma, você pode garantir que as regras sejam aplicadas, independentemente de quem na sua organização cria uma VNIC na VCN. Ou você pode adicionar as regras de segurança necessárias à lista de segurança padrão da VCN.

Se você optar por combinar listas de segurança e grupos de segurança de rede, o conjunto de regras que se aplicam a uma VNIC específica será a união destes itens:

  • As regras de segurança nas listas de segurança associadas à sub-rede VNIC

  • As regras de segurança em todos os NSGs em que a VNIC está

Um pacote será permitido se uma regra em qualquer uma das listas e grupos relevantes permitir o tráfego ou se o tráfego fizer parte de uma conexão existente que está sendo rastreada por causa de uma regra com monitoramento de estado.