Documentação do Oracle Cloud Infrastructure

Listas de Segurança

No Private Cloud Appliance, uma lista do serviço de segurança age como firewall virtual para uma instância, com regras de ingresso e saída que especificam os tipos de tráfego permitidos dentro e fora.

Cada lista de segurança é aplicada no nível da VNIC. No entanto, você configura suas listas de segurança no nível da sub-rede, o que significa que todas as VNICs em uma sub-rede específica estão sujeitas ao mesmo conjunto de listas de segurança.

As listas se aplicam a uma VNIC específica, quer ela esteja se comunicando com outra instância na VCN ou um host fora da VCN. Cada sub-rede pode ter diversas listas de segurança associadas, e cada lista pode ter diversas regras.

Cada VCN vem com uma lista da segurança padrão. Se você não especificar uma lista de segurança personalizada para uma sub-rede, a lista de segurança padrão será usada automaticamente com essa sub-rede. Você pode adicionar e remover regras na lista padrão de segurança. Ele tem um conjunto inicial de regras com monitoramento de estado, que devem ser alteradas para permitir apenas o tráfego de entrada de sub-redes autorizadas. As regras padrão são:

  • Entrada com estado: Permita o tráfego TCP na porta de destino 22 (SSH) com base em endereços IP e em qualquer porta de origem autorizados.

    Esta regra permite criar uma nova rede na nuvem e uma sub-rede pública, criar uma instância Linux e, em seguida, usar imediatamente o SSH para se conectar a essa instância sem precisar gravar nenhuma regra de lista.

    A lista padrão de segurança não inclui uma regra para permitir o acesso ao RDP (Remote Desktop Protocol). Se você estiver usando imagens do Private Cloud Appliance, adicione uma regra do estado de entrada para o tráfego TCP na porta 3389 de destino com base nos endereços IP da origem autorizada e em qualquer porta da origem.

  • Entrada com monitoramento de estado: Para permitir tráfego ICMP do tipo 3 código 4 proveniente de endereços IP de origem autorizados.

    Esta regra permite que as instâncias recebam mensagens de fragmentação de Descoberta de MTU do Caminho.

  • Entrada com estado: Permita o tráfego ICMP tipo 3 (Todos os códigos) do seu bloco CIDR de VCN.

    Essa regra permite que as instâncias recebam mensagens de erro de conectividade de outras instâncias dentro da VCN.

  • Saída com monitoramento de estado: para permitir todos os tipos de tráfego.

    Isso permite que as instâncias iniciem um tráfego de qualquer tipo para qualquer destino. Isso implica que as instâncias com endereços IP públicos poderão se comunicar com qualquer endereço IP de internet se a VCN tiver um gateway da internet configurado. E, como as regras de segurança com monitoramento de estado usam o rastreamento de conexões, o tráfego de resposta é permitido de forma automática, independentemente das regras de entrada.

O processo geral para trabalhar com listas de segurança é o seguinte:

  1. Criar uma lista de segurança.

  2. Adicione regras de segurança à lista de segurança.

  3. Associe a lista de segurança a uma ou mais sub-redes.

  4. Crie recursos, como instâncias de computação, na sub-rede.

    As regras de segurança se aplicam a todas as VNICs dessa sub-rede.

Ao criar uma sub-rede, você deve associar pelo menos uma lista de segurança a ela. Pode ser a lista de segurança padrão da VCN ou uma ou mais outras listas de segurança que você já criou. Você pode alterar quais listas de segurança a sub-rede usa a qualquer momento. Você pode adicionar e remover regras na lista da segurança. É possível que uma lista de segurança não contenha regras.

Para obter mais informações, consulte Controlando o Tráfego com Listas de Segurança.