网络安全
Oracle Cloud Infrastructure 网络服务支持预配虚拟云网络(vcn)和子网,可用于在网络级别将您的资源隔离在云中。
使用 Oracle Cloud Infrastructure FastConnect 电路或 IPSec VPN 连接,可以将 vcn 配置为进行互联网连接或连接到内部部署数据中心。可以使用双向有状态和无状态防火墙规则、通信网关和路由表,控制通信流入和创建的网络的流量。为 VCN 指定的防火墙和访问控制列表(acl)将在网络拓扑和控制层中传播,以确保实现多分层和防火深度。有关 Oracle Cloud Infrastructure 中的网络的更多信息,请参见网络概述。
以下体系结构说明了如何使用子网、路由表和安全列表来保护网络边界。
此体系结构显示了使用安全列表的虚拟防火墙实现。在安全列表中指定的规则适用于您将安全列表连接到的子网中的所有 Vnic。如果需要以更精细的级别触发挡板,请使用网络安全组(Nsg)。NSG 中的规则仅适用于您指定的 vnic。Oracle 建议您使用 nsg,因为它们可以将子网体系结构与工作量的安全要求分隔开。
以下示例将比较安全列表和 Nsg:
使用以下核对表保护您的网络边界:
| 是否完成? | 安全控制和建议 |
|---|---|
 |
将 VCN 分区到专用子网和公共子网中。 |
|
定义防火墙规则以控制对实例的访问。 |
|
创建并配置网络连接的虚拟路由器。 |
|
使用 IAM 策略可以将对网络资源的访问限制为仅允许管理网络资源的组。 |
|
要控制网络访问,请对 VCN 使用分层子网策略。为负载平衡器使用隔离区(DMZ)子网;对于外部访问的主机(例如 Web 服务器),请使用公共子网;对于内部主机(例如数据库),请使用专用子网。 |
|
使用 NAT 网关从专用计算实例连接到互联网。 |
|
使用服务网关连接到 Oracle 服务网络。 |
|
使用精细的安全规则在 VCN 中进行访问,通过对等连接网关与其他 VCN 进行通信,以及通过 IPSec VPN 和 FastConnect 访问内部部署网络。 |
|
设置入侵检测和保护系统(IDS/IPS)。 |
|
为高可用性和传输层安全(TLS)创建和配置负载平衡器。 |
|
使用 Web 应用程序防火墙(WAF)。 |
|
创建 DNS 区和映射。负载平衡器中的重要安全考虑因素是使用客户 TLS 证书将 TLS 连接配置到客户的 VCN。 |
|
遵循外部云连接的安全最佳实践。 |
下图显示了与 Oracle Cloud Infrastructure 的网络连接选项。
