Documentação do Oracle Cloud Infrastructure

Firewall Virtual

No Private Cloud Appliance, o serviço Networking oferece dois recursos de firewall virtual que usam regras de segurança para controlar o tráfego no nível do pacote – listas de segurança e grupos de segurança de rede (NSGs). Eles oferecem maneiras diferentes de aplicar regras para um conjunto de VNICs (Virtual Network Interface Cards).

  • Listas de segurança:

    Uma lista de segurança define regras de segurança no nível da sub-rede, o que significa que todas as VNICs de uma sub-rede específica estão sujeitas às mesmas regras. Cada VCN vem com uma segurança padrão que contém regras padrão para tráfego essencial. A lista de segurança padrão é usada automaticamente com todas as sub-redes, a menos que uma lista de segurança personalizada seja especificada. Uma sub-rede pode ter até cinco listas de segurança associadas.

  • Grupos de segurança de rede (NSGs):

    Um grupo de segurança de rede define regras de segurança com base na associação. Suas regras de segurança se aplicam a recursos que são explicitamente adicionados ao NSG. Um VNIC pode ser adicionado a no máximo cinco NSGs. Um NSG tem como objetivo fornecer um firewall virtual para um conjunto de recursos de nuvem com a mesma postura de segurança. Por exemplo: um grupo de instâncias que executam as mesmas tarefas e, portanto, precisam usar o mesmo conjunto de portas.

A Oracle recomenda usar NSGs em vez de listas de segurança porque NSGs permitem separar a arquitetura de sub-rede da VCN dos requisitos do seu aplicativo. No entanto, só há suporte para NSGs em serviços específicos. É possível usar listas de segurança e NSGs juntos, dependendo das suas necessidades de segurança específicas.

Se você tiver regras que deseja impor para todas as VNICs em uma VCN, a solução mais fácil será colocar as regras em uma lista e, em seguida, associá-la a todas as sub-redes da VCN. Dessa forma, você pode assegurar que as regras sejam aplicadas, independentemente de quem na sua organização cria uma VNIC na VCN. Ou você pode adicionar as regras de segurança necessárias à lista de segurança padrão da VCN.

Se você optar por combinar listas de segurança e grupos da segurança da rede, o conjunto de regras que se aplica a uma determinada VNIC será a união destes itens:

  • As regras de segurança nas listas de segurança associadas à sub-rede VNIC

  • As regras de segurança em todos os NSGs em que a VNIC está

Um pacote em questão será permitido se qualquer regra em qualquer das listas e grupos relevantes permitir o tráfego ou se o tráfego for parte de uma conexão existente que está sendo rastreada por causa de uma regra com monitoramento de estado.