Documentação do Oracle Cloud Infrastructure

Grupos de Segurança de Rede

No Private Cloud Appliance, um Grupo de Segurança de Rede (NSG) fornece um firewall virtual para um conjunto de recursos de nuvem, dentro de uma única VCN, que todos têm a mesma postura de segurança. Por exemplo: um grupo de instâncias de computação em que todas executam as mesmas tarefas e, portanto, todas devem usar o mesmo conjunto de portas.

As regras em um NSG são impostas em VNICs, mas sua associação ao NSG é determinada por meio de seus recursos pais. Nem todos os serviços de nuvem suportam NSGs. Atualmente, os seguintes tipos de recursos pai suportam o uso de NSGs:

  • Instâncias do Compute: ao criar uma instância, você pode especificar um ou mais NSGs para a VNIC principal da instância. Se você adicionar uma VNIC secundária a uma instância, poderá especificar um ou mais NSGs para essa VNIC. Você também pode alterar a associação NSG de VNICs existentes.

  • Balanceadores de carregamento: Ao criar um balanceador de carregamento, você pode especificar um ou mais NSGs para o balanceador de carregamento (não o conjunto de backend). Você também pode atualizar um balanceador de carga existente para usar um ou mais NSGs.

  • Pontos de acesso montados: Quando você cria um destino de montagem para um sistema de arquivo, pode especificar um ou mais NSGs. Você também pode atualizar um ponto de acesso NFS existente para usar um ou mais NSGs.

Para tipos de recursos que ainda não suportam NSGs, continue usando listas de segurança para controlar o tráfego de/para esses recursos pais.

Observação

Você não pode associar um Gateway de Internet a um NSG.

Um NSG contém dois tipos de elementos:

  • VNICs: Uma ou mais VNICs; por exemplo, as VNICs anexadas ao conjunto de instâncias de computação que têm a mesma postura de segurança. Todas as VNICs devem estar na VCN à qual o NSG pertence. Uma VNIC pode ter no máximo cinco NSGs.

  • Regras de Segurança: Regras que definem os tipos de tráfego que podem entrar e sair das VNICs do grupo. Por exemplo: tráfego de entrada SSH na porta TCP 22 proveniente de uma origem específica.

O processo geral para trabalhar com NSGs é o seguinte:

  1. Crie um NSG.

    Quando você cria um NSG, ele inicialmente está vazio, sem regras de segurança ou VNICs. Depois que o NSG for criado, você poderá adicionar ou remover regras da segurança para permitir os tipos de tráfego de entrada e saída que as VNICs do grupo exigem.

  2. Adicione regras de segurança ao NSG.

  3. Adicione recursos pais, ou mais especificamente VNICs, ao NSG.

    Ao gerenciar uma associação ao NSG VNIC, você faz isso como parte do trabalho com o recurso pai, não com o próprio NSG. Você pode fazer isso ao criar o recurso pai ou pode atualizar o recurso pai e adicioná-lo a um ou mais NSGs.

    Quando você cria uma instância de computação e a adiciona a um NSG, a VNIC principal da instância é adicionada ao NSG. Você pode criar VNICs secundárias separadamente e, opcionalmente, adicioná-las a NSGs.

Em comparação com as listas de segurança, há algumas diferenças no modelo da API REST para NSGs:

  • Com listas de segurança, há um objeto IngressSecurityRule e um objeto EgressSecurityRule separados. Com grupos de segurança de rede, só há um objeto SecurityRule e o atributo direction do objeto determina se a regra se destina a tráfego de entrada ou saída.

  • As regras fazem parte do objeto SecurityList e você trabalha com as regras chamando as operações de lista de segurança; por exemplo: UpdateSecurityList. Com NSGs, as regras não integram o objeto NetworkSecurityGroup. Em vez disso, você usa operações separadas para trabalhar com as regras de um determinado NSG; por exemplo: UpdateNetworkSecurityGroupSecurityRules.

  • O modelo para atualizar as regras de segurança existentes é diferente entre as listas e os NSGs. Com NSGs, cada regra em um grupo específico tem um identificador exclusivo. Quando chama UpdateNetworkSecurityGroupSecurityRules, você fornece os IDs das regras específicas que deseja atualizar. Com listas da segurança, as regras não têm um identificador exclusivo. Quando você chama UpdateSecurityList, deve informar toda a lista de regras, incluindo regras que não estejam sendo atualizadas na chamada.

  • Há um limite de 25 regras durante a chamada das operações para adicionar, remover ou atualizar regras de segurança.

Para obter mais informações, consulte Controlando o Tráfego com Grupos de Segurança de Rede.