Documentação do Oracle Cloud Infrastructure

Listas de Segurança

O serviço Networking oferece duas funcionalidades de firewall virtuais para controlar o tráfego no nível do pacote:

  • Listas de segurança: detalhes neste tópico. Este é o tipo original de firewall virtual oferecido pelo serviço Networking.
  • Grupos de segurança de rede: outro tipo de firewall virtual que a Oracle recomenda em listas de segurança. Consulte Grupos de Segurança de Rede.

Essas duas funcionalidades usam regras de segurança. Para obter informações importantes sobre como as regras de segurança funcionam e verificar uma comparação geral entre listas de segurança e grupos de segurança de rede, consulte Regras de Segurança.

Destaques

  • As listas de segurança atuam como firewalls virtuais para as suas instâncias do Compute e para outros tipos de recursos. Uma lista de segurança consiste em um conjunto de regras de segurança de entrada e saída que se aplicam a todas as VNICs em qualquer sub-rede à qual a lista de segurança está associada. Isso significa que todas as VNICs de determinada sub-rede estão sujeitas ao mesmo conjunto de listas de segurança. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.
  • As regras de lista de segurança funcionam da mesma forma que as regras de grupo de segurança de rede. Para obter uma discussão dos parâmetros de regra, consulte Partes de uma Regra de Segurança.
  • Cada VCN vem com uma lista de segurança padrão que tem várias regras padrão para tráfego essencial. Se você não especificar uma lista de segurança personalizada para uma sub-rede, a lista de segurança padrão será usada automaticamente com essa sub-rede. Você pode adicionar e remover regras da lista de segurança padrão.
  • Em comparação com os grupos de segurança de rede, as listas de segurança têm limites separados e específicos. Consulte Limites.

Visão Geral das Listas de Segurança

Uma lista de segurança atua como um firewall virtual para uma instância, com regras de entrada e saída que especificam os tipos de tráfego de entrada e saída permitidos. Cada lista de segurança é aplicada no nível da VNIC. Entretanto, você configura as suas listas de segurança no nível da sub-rede. Isso significa que todas as VNICs de determinada sub-rede estão sujeitas ao mesmo conjunto de listas de segurança. As listas de segurança se aplicam a determinada VNIC se ela estiver se comunicando com outra instância na VCN ou com um host fora da VCN.

Cada sub-rede pode ter várias listas de segurança associadas a ela, e cada uma delas pode ter várias regras (para obter o número máximo, consulte Limites). Um pacote será permitido se qualquer regra em qualquer uma das listas possibilitar o tráfego (ou se o tráfego fizer parte de uma conexão existente que está sendo rastreada). Haverá uma limitação se as listas contiverem regras com e sem monitoramento de estado que abranjam o mesmo tráfego. Para obter mais informações, consulte Regras com e sem Monitoramento de Estado.

As listas de segurança são entidades regionais. Para obter limites relacionados a listas de segurança, consulte Limites.

As listas de segurança podem controlar tráfego IPv4 e IPv6. No entanto, no momento, as regras de endereçamento IPv6 e as regras de lista de segurança relacionadas só são suportadas na Nuvem do Governo dos Estados Unidos. Para obter mais informações, consulte Endereços IPv6.

Lista de Segurança Padrão

Cada rede na nuvem tem uma lista de segurança padrão. Você também pode criar outras listas de segurança para a VCN. Uma sub-rede terá automaticamente a lista de segurança padrão associada a ela se você não especificar uma ou mais outras listas de segurança durante a criação da sub-rede. A qualquer momento após a criação de uma sub-rede, você poderá alterar as listas de segurança associadas a ela. E você pode alterar as regras nas listas.

Ao contrário de outras listas de segurança, a lista de segurança padrão vem com um conjunto inicial de regras com monitoramento de estado, que você pode alterar:

  • Entrada com monitoramento de estado: para permitir tráfego TCP na porta de destino 22 (SSH) proveniente da origem 0.0.0.0/0 e de qualquer porta de origem. Essa regra permite que você facilmente crie uma nova rede na nuvem e de uma sub-rede pública, inicie uma instância do Linux e use imediatamente o SSH para se conectar com essa instância sem que seja necessário criar regras de lista de segurança.

    Importante

    A lista de segurança padrão não inclui uma regra para permitir acesso RDP (Remote Desktop Protocol). Se você estiver usando imagens do Windows, certifique-se de adicionar uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 proveniente da origem 0.0.0.0/0 e de qualquer porta de origem.

    Consulte Para ativar o acesso RDP para obter mais informações.

  • Entrada com monitoramento de estado: para permitir tráfego ICMP do tipo 3 código 4 proveniente da origem 0.0.0.0/0. Essa regra permite que as suas instâncias recebam mensagens de fragmentação PMTU (Path MTU Discovery).

  • Entrada com monitoramento de estado: para permitir o tipo de tráfego ICMP 3 (todos os códigos) proveniente da origem = o CIDR da sua VCN. Esta regra facilita o recebimento de mensagens de erro de conectividade de outras instâncias dentro da VCN.
  • Saída com monitoramento de estado: para permitir todos os tipos de tráfego. Isso permite que as instâncias iniciem um tráfego de qualquer tipo para qualquer destino. Observe que isso significa que as instâncias com endereços IP públicos podem se comunicar com qualquer endereço IP da internet, se a VCN tiver um gateway de internet configurado. E, como as regras de segurança com monitoramento de estado usam o rastreamento de conexões, o tráfego de resposta é permitido de forma automática, independentemente das regras de entrada. Para obter mais informações, consulte Detalhes do Rastreamento de Conexões para Regras com Monitoramento de Estado.

A lista de segurança padrão não tem regras sem monitoramento de estado. No entanto, você pode adicionar ou remover regras da lista de segurança padrão conforme desejar.

Se a sua VCN estiver ativada para endereçamento IPv6 (que atualmente só é suportado na Nuvem do Governo), a lista de segurança padrão conterá algumas regras padrão para tráfego IPv6. Para obter mais informações, consulte Endereços IPv6.

Permitindo Solicitações de Ping

A lista de segurança padrão não inclui uma regra para permitir solicitações de ping. Se você planeja fazer solicitações de ping em uma instância, consulte Regras para Permitir Solicitações de Ping.

Regras de Segurança

Se ainda não estiver familiarizado com os conceitos básicos das regras de segurança, consulte estas seções no tópico sobre regras de segurança:

Como Trabalhar com Listas de Segurança

Advertência

Evite inserir informações confidenciais ao designar descrições, tags ou nomes amigáveis aos seus recursos na nuvem por meio da Console, da API ou da CLI do Oracle Cloud Infrastructure.

Processo Geral para Trabalhar com Listas de Segurança

  1. Crie uma lista de segurança.
  2. Adicione regras de segurança à lista de segurança.
  3. Associe a lista de segurança a uma ou mais sub-redes.
  4. Crie recursos na sub-rede (por exemplo, crie instâncias do Compute na sub-rede). As regras de segurança se aplicam a todas as VNICs dessa sub-rede. Consulte Sobre VNICs e Recursos Pais.

Detalhes Adicionais

Ao criar uma sub-rede, você deve associar pelo menos uma lista de segurança a ela. Pode ser a lista de segurança padrão da VCN ou uma ou mais outras listas de segurança que você já criou (para o número máximo, consulte Limites de Serviço). Você pode alterar quais listas de segurança a sub-rede usará a qualquer momento.

Opcionalmente, você pode designar um nome amigável à lista de segurança ao criá-la. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O sistema Oracle designa automaticamente um identificador exclusivo chamado OCID (Oracle Cloud ID) à lista de segurança. Para obter mais informações, consulte: Identificadores de Recurso.

Para fins de controle de acesso, você deve especificar o compartimento onde deseja que a lista de segurança resida. Consulte um administrador na sua organização se não tiver certeza de qual compartimento usar. Para obter mais informações, consulte Controle de Acesso.

Você pode mover listas de segurança de um compartimento para outro. Mover uma lista de segurança não afeta seu anexo a uma sub-rede. Quando você move uma lista de segurança para um novo compartimento, as políticas inerentes são aplicadas imediatamente e afetam o acesso à lista de segurança. Para obter mais informações, consulte Gerenciando Compartimentos.

Você pode adicionar e remover regras da lista de segurança. Uma lista de segurança não pode ter regras. Observe que quando você atualiza uma lista de segurança na API, o novo conjunto de regras substitui inteiramente o conjunto de regras.

Para que seja possível excluir uma lista de segurança, ela não deve estar associada a uma sub-rede. Você não pode excluir a lista de segurança padrão de uma VCN.

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deverá receber o tipo de acesso necessário em uma política criada por um administrador, independentemente de estar usando a Console ou a API REST com um SDK, a CLI ou outra ferramenta. Se você tentar executar uma ação e receber uma mensagem de que não tem permissão ou que não está autorizado, confirme com o administrador o tipo de acesso que recebeu e em qual compartimento deverá trabalhar.

Para administradores: a política em Permitir que os administradores de rede gerenciem uma rede na nuvem abrange o gerenciamento de todos os componentes do serviço Networking, incluindo listas de segurança.

Se você tiver administradores de segurança que precisam gerenciar listas de segurança, mas não outros componentes da Rede, você pode escrever uma política mais restritiva:

Allow group SecListAdmins to manage security-lists in tenancy

Allow group SecListAdmins to manage vcns in tenancy

Ambas as instruções são necessárias porque a criação de uma lista de segurança afeta a VCN na qual a lista de segurança está. O escopo da segunda instrução também permite que o grupo SecListAdmins crie VCNs. No entanto, o grupo não pode criar sub-redes ou gerenciar qualquer outro componente relacionado a qualquer uma dessas VCNs (exceto listas de segurança), pois seriam necessárias permissões adicionais para esses recursos. Além disso, o grupo não pode excluir as VCNs existentes que já contenham sub-redes, pois essa ação requer permissões relacionadas às sub-redes.

Para obter mais informações, consulte Políticas do IAM para Redes.

Usando a Console

Para exibir a lista de segurança padrão de uma VCN
Para atualizar regras em uma lista de segurança existente
Para criar uma lista de segurança
Para alterar quais listas de segurança uma sub-rede usa
Para mover uma lista de segurança para outro compartimento
Para excluir uma lista de segurança
Para gerenciar as tags de uma lista de segurança

Usando a API

Para obter informações sobre o uso da API e de solicitações de assinatura, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs (Software Development Kits) e CLI (Command Line Interface).

Para gerenciar as listas de segurança de uma VCN, use estas operações:

Este tópico foi movido. Se você não for redirecionado em 2 segundos, clique no seguinte link: Listas de Segurança.