Documentação do Oracle Cloud Infrastructure

Protegendo a Rede: VCN, Balanceadores de Carga e DNS

Recomendações de Segurança

O serviço Networking tem um conjunto de recursos para impor controle de acesso à rede e proteger o tráfego da VCN. Essas funcionalidades são listadas na tabela a seguir.

Recurso da VCN Descrição de Segurança
Sub-redes públicas e privadas A sua VCN pode ser particionada em sub-redes. Historicamente, as sub-redes têm sido específicas para um domínio de disponibilidade, mas agora podem ser regionais (abrangendo todos os domínios de disponibilidade da região). As instâncias contidas em sub-redes privadas não podem ter endereços IP públicos. As instâncias contidas em sub-redes públicas podem, opcionalmente, ter endereços IP públicos ao seu critério.
Regras de segurança As regras de segurança fornecem recursos de firewall com ou sem monitoramento de estado para controlar o acesso à rede por parte das suas instâncias. Para implementar regras de segurança na sua VCN, você pode usar grupos de segurança de rede (NSGs) ou listas de segurança. Para obter mais informações, consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.
Gateways

Os Gateways permitem que recursos de uma VCN se comuniquem com destinos fora da VCN. Os gateways incluem:

  • Gateway de internet: para conectividade com a internet (para recursos com endereços IP públicos em sub-redes públicas)
  • Gateway NAT: para conectividade com a internet sem expor os recursos a conexões de internet recebidas (para recursos em sub-redes privadas)
  • DRG (Dynamic Routing Gateway): para conectividade com redes fora da região da VCN (por exemplo, a sua rede local por meio de uma VPN Site-to-Site ou de um FastConnect ou de uma VCN pareada em outra região)
  • Gateway de serviço: para conectividade privada com serviços Oracle, como o Object Storage
  • Gateway de pareamento local (LPG): para conectividade com uma VCN pareada na mesma região
Regras da tabela de roteamento As tabelas de roteamento controlam como o tráfego é roteado das sub-redes da VCN para destinos fora da VCN. Os alvos do roteamento podem ser gateways de VCN ou um endereço IP privado na VCN.
Políticas do IAM para famílias de redes virtuais As políticas do IAM especificam o acesso e as ações permitidas por grupos do IAM em relação a recursos em uma VCN. Por exemplo, as políticas do IAM podem conceder privilégios administrativos aos administradores de rede que gerenciam as VCNs e permissões com escopo reduzido para usuários convencionais.

A Oracle recomenda que você monitore periodicamente os logs do Oracle Cloud Infrastructure Audit para revisar as alterações em grupos de segurança de rede da VCN, listas de segurança, regras de tabela de roteamento e gateways da VCN.

Segmentação da Rede: Sub-redes da VCN

  • Formule uma estratégia de sub-rede em camadas para a VCN, a fim de controlar o acesso à rede. Um padrão de design comum é ter as seguintes camadas de sub-rede:

    1. Sub-rede DMZ para balanceadores de carga
    2. Sub-rede pública para hosts acessíveis externamente, como instâncias NAT, instâncias de detecção de intrusão (IDS) e servidores de aplicativos web
    3. Sub-rede privada para hosts internos, como bancos de dados

    Não é necessário um roteamento especial para que as instâncias nas diversas sub-redes se comuniquem. No entanto, você pode controlar os tipos de tráfego entre as diversas camadas usando os grupos de segurança de rede da VCN ou as listas de segurança.

  • As instâncias na sub-rede privada têm apenas endereços IP privados e só podem ser acessadas por outras instâncias na VCN. A Oracle recomenda que você coloque hosts com sensíveis à segurança (sistemas de banco de dados, por exemplo) em uma sub-rede privada e use regras de segurança para controlar o tipo de conectividade com hosts em uma sub-rede pública. Além das regras de segurança da VCN, configure firewalls baseados no host, como iptables, firewalld, para controle de acesso à rede como um mecanismo de defesa reforçada.
  • Você pode adicionar um gateway de serviço à sua VCN para permitir que os sistemas de banco de dados na sub-rede privada façam backup diretamente no serviço Object Storage sem que o tráfego passe pela internet. Você deve configurar o roteamento e as regras de segurança para permitir esse tráfego. Para obter mais informações sobre sistemas de banco de dados bare metal ou de máquina virtual, consulte Configurar a Rede. Para obter mais informações sobre sistemas de BD Exadata, consulte Configuração da Rede para Instâncias do Exadata Cloud Service.

Controle de Acesso à Rede: Regras de Segurança da VCN

  • Use as regras de segurança da VCN para restringir o acesso das instâncias à rede. Por padrão, uma regra de segurança tem monitoramento de estado, mas ela também pode ser configurada para não ter monitoramento de estado. Uma prática comum é usar regras sem monitoramento de estado para aplicativos de alto desempenho. Em um caso em que o tráfego de rede corresponde às listas de segurança com e sem monitoramento de estado, a regra sem monitoramento tem precedência. Para obter mais informações sobre a configuração das regras de segurança da VCN, consulte Regras de Segurança.
  • Para impedir o acesso não autorizado ou ataques nas instâncias do serviço Compute, a Oracle recomenda que você use uma regra de segurança da VCN para permitir acesso SSH ou RDP somente a blocos CIDR autorizados, em vez de deixá-los abertos para a internet (0.0.0.0/0). Para proporcionar segurança adicional, você pode permitir temporariamente o acesso SSH (porta 22) ou RDP (porta 3389), conforme necessário, usando a API da VCN UpdateNetworkSecurityGroupSecurityRules (se você estiver usando grupos de segurança de rede) ou UpdateSecurityList (se você estiver usando listas de segurança). Para obter mais informações sobre a ativação do acesso RDP, consulte Para ativar o acesso RDP em Criando uma Instância. Para executar verificações de integridade da instância, a Oracle recomenda que você configure regras de segurança da VCN para permitir pings ICMP. Para obter mais informações, consulte Regras para Ativar o Ping.
  • Bastions são entidades lógicas que fornecem acesso público seguro aos recursos de destino na nuvem que você não pode acessar pela internet. Bastions residem em uma sub-rede pública e estabelecem a infraestrutura de rede necessária para conectar um usuário a um recurso de destino em uma sub-rede privada.
  • Os grupos de segurança de rede VCN (NSGs) e as listas de segurança permitem um controle crítico para a segurança em relação a instâncias de computação. É importante impedir alterações não intencionais ou não autorizadas em NSGs e em listas de segurança. Para impedir alterações não autorizadas, a Oracle recomenda que você use políticas do IAM para permitir que somente administradores de rede façam alterações no NSG e na lista de segurança.

Conectividade Segura: Gateways de VCN e Pareamento FastConnect

  • Os gateways de VCN fornecem conectividade externa (internet, local ou VCN pareada) com hosts da VCN. Consulte a tabela mostrada anteriormente neste tópico para obter uma lista dos tipos de gateways. A Oracle recomenda que você use uma política do IAM para permitir que apenas administradores de rede criem ou modifiquem gateways da VCN.

  • Tenha cuidado ao permitir que uma instância acesse a internet. Por exemplo, você não quer permitir acidentalmente o acesso pela Internet a instâncias de um banco de dados confidencial. Para que uma instância em uma VCN seja acessível publicamente pela internet, você deve configurar as seguintes opções de VCN:

    • A instância deve estar em uma sub-rede pública da VCN.
    • A VCN que contém a instância deve ter um gateway de internet ativado e configurado para ser o alvo do roteamento para o tráfego de saída.
    • A instância deve ter um endereço IP público designado a ela.
    • A lista de segurança da VCN para a sub-rede da instância deve ser configurada para permitir o tráfego de entrada proveniente de 0.0.0.0/0. Ou se você estiver usando grupos de segurança de rede (NSG), a instância deverá estar em um NSG que permita esse tráfego.
  • O IPSec da VPN oferece conectividade entre a rede local e a VCN de um cliente. Você pode criar dois túneis IPSec para alta disponibilidade. Para obter mais informações sobre a criação de túneis VPN para conectar o DRG da VCN a CPEs do cliente, consulte VPN para o Local.
  • O pareamento FastConnect permite que você conecte a sua rede local com a sua VCN usando um circuito privado para que o tráfego não passe pela internet pública. Você pode configurar pareamento privado (para estabelecer conexão com endereços IP privados) ou pareamento público (para estabelecer conexão com pontos finais públicos do Oracle Cloud Infrastructure, como acontece para o serviço Object Storage). Para obter mais informações sobre as opções de pareamento do FastConnect, consulte FastConnect.

Appliances de Segurança Virtual em uma VCN

  • O serviço Networking permite implementar funções de segurança de rede, como detecção de intrusões, firewalls no nível do aplicativo e NAT (embora você possa usar um gateway NAT com a sua VCN). Você pode fazer isso roteando todo tráfego de sub-rede para um host de segurança de rede e usando regras de tabela de roteamento que utilizam um endereço IP privado da VCN local como alvo. Para obter mais informações, consulte Usando um IP Privado como um Alvo da Rota. Para proporcionar alta disponibilidade, você pode designar ao host de segurança do gateway um endereço IP privado secundário, que pode ser movido para uma VNIC em um host stand-by no caso de falha do host principal. A captura do pacote de rede completo ou logs de fluxo de rede podem ser obtidos nas instâncias NAT usando tcpdump, e os logs podem ser carregados por upload periodicamente para um bucket do serviço Object Storage.

  • Os appliances de segurança virtual podem ser executados como máquinas virtuais (VMs) em um modelo BYOH (bring-your-own-hypervisor) em uma instância bare metal. VMs de appliance de segurança virtual em execução na instância bare metal BYOH têm cada uma sua própria VNIC secundária, permitindo conectividade direta com outras instâncias e serviços na VCN da VNIC. Para obter informações sobre como ativar o BYOH em uma instância bare metal usando um hypervisor KVM de código-fonte aberto, consulte Trazendo o Seu Próprio SO Convidado do Hypervisor.
  • Os appliances de segurança virtual também podem ser instalados em máquinas virtuais (VMs) de computação em que imagens VMDK ou QCOW2 de dispositivos de segurança podem ser importadas usando a funcionalidade BYOI (bring your own image). No entanto, em decorrência de dependências de infraestrutura, o recurso BYOI pode não funcionar para alguns appliances; nesse caso, o modelo BYOH seria outra opção a ser usada. Para obter mais informações sobre a importação de imagens de appliance para o Oracle Cloud Infrastructure, consulte BYOI (Bring Your Own Image).

Balanceadores de Carga

  • Os balanceadores de carga do Oracle Cloud Infrastructure permitem conexões TLS de ponta a ponta entre os aplicativos de um cliente e a VCN de um cliente. A conexão TLS pode ser encerrada em um balanceador de carga HTTP ou em um servidor de backend usando um balanceador de carga TCP. Por padrão, os balanceadores de carga usam o protocolo TLS1.2. Para obter informações sobre como configurar um listener HTTPS, consulte Listeners para Balanceadores de Carga. Você também pode fazer o upload dos seus próprios certificados TLS. Para obter mais informações, consulte Certificados SSL para Balanceadores de Carga.
  • É possível configurar o acesso à rede para balanceadores de carga usando grupos de segurança de rede da VCN ou listas de segurança. Esse método fornece uma funcionalidade semelhante aos firewalls de balanceador de carga tradicionais. Para balanceadores de carga públicos, a Oracle recomenda que você use uma sub-rede pública regional (por exemplo, sub-rede DMZ) para instanciar os balanceadores de carga em uma configuração altamente disponível entre dois domínios de disponibilidade distintos. Você pode configurar as regras de firewall do balanceador de carga definindo os grupos de segurança de rede do balanceador de carga ou as listas de segurança da sub-rede. Para obter mais informações sobre a criação de listas de segurança do balanceador de carga, consulte Atualizar Listas de Segurança do Balanceador de Carga e Permitir Tráfego da Internet para o Listener. Da mesma forma, você deve configurar os grupos de segurança de rede da VCN ou as listas de segurança dos servidores de backend para limitar apenas o tráfego proveniente dos balanceadores de carga públicos. Para obter mais informações sobre a configuração de listas de segurança do servidor de backend, consulte Atualizar Regras para Limitar o Tráfego a Servidores de Backend.

Registros e Zonas DNS

Registros e zonas DNS são críticos para a acessibilidade de propriedades web. Atualizações ou exclusões incorretas podem resultar em interrupções nos serviços, acessados por meio de nomes DNS. A Oracle recomenda que você limite os usuários do IAM que podem modificar registros e zonas DNS.

Políticas de Orientação do Gerenciamento de Tráfego de DNS

Atualizações incorretas ou exclusões não autorizadas para políticas de direção do gerenciamento de tráfego do DNS podem resultar em interrupção de serviços devido a falhas de direcionamento ou failover de tráfego. A Oracle recomenda que você limite os usuários do IAM que podem modificar as políticas de direção do gerenciamento de tráfego do DNS.

Exemplos de Política de Segurança

Permitir que os Usuários Somente Exibam Listas de Segurança

Os administradores de rede são a equipe que deve ter a capacidade de criar e gerenciar grupos de segurança de rede e listas de segurança.

No entanto, você pode ter usuários de rede que precisam saber quais regras de segurança existem em determinado grupo de segurança de rede (NSG) ou em uma lista de segurança.

A primeira linha do exemplo de política a seguir permite que o grupo NetworkUsers exiba listas de segurança e seu conteúdo. Essa política não permite que o grupo crie, anexe, exclua ou modifique listas de segurança.

A segunda linha permite que o grupo NetworkUsers verifique as regras de segurança em NSGs e também verifique quais VNICs e recursos pai estão em NSGs. A segunda linha não permite que o grupo NetworkUsers altere as regras de segurança em NSGs.

Allow group NetworkUsers to inspect security-lists in tenancy
Allow group NetworkUsers to use network-security-groups in tenancy

Impedir que os Usuários Criem uma Conexão Externa com a Internet

Em alguns casos, pode ser necessário impedir que os usuários criem uma conectividade de internet externa com suas respectivas VCN. No exemplo de política a seguir, o grupo NetworkUsers é impedido de criar um gateway de internet.

Allow group NetworkUsers to manage internet-gateways in tenancy
 where request.permission!='INTERNET_GATEWAY_CREATE'

Impedir que os Usuários Atualizem Registros e Zonas DNS

No exemplo de política a seguir, o grupo NetworkUsers é impedido de excluir e atualizar zonas e registros DNS

Allow group NetworkUsers to manage dns-records in tenancy
 where all {request.permission!='DNS_RECORD_DELETE', 
            request.permission!='DNS_RECORD_UPDATE'} 
Allow group NetworkUsers to manage dns-zones in tenancy
 where all {request.permission!='DNS_ZONE_DELETE', 
            request.permission!='DNS_ZONE_UPDATE'}

Comandos Úteis da CLI

Em todos os exemplos a seguir, as variáveis de ambiente $T, $C e $VCN são definidas como o OCID da tenancy, o OCID do compartimento e o OCID da VCN, respectivamente.

Mostrar Listas de Segurança Abertas em uma VCN

# list open (0.0.0.0/0) security lists in VCN $VCN in compartment $C 
oci network security-list list -c $C --vcn-id $VCN | grep "source" | grep "\"0.0.0.0/0\""

Listar Gateways em uma VCN

# list all internet gateways in VCN $VCN in compartment $C 
oci network internet-gateway list -c $C --vcn-id $VCN 
# list all DRGs in compartment $C 
oci network drg list -c $C 
# list all local peering gateways in vcn $VCN in compartment $C 
oci network local-peering-gateway list -c $C --vcn-id $VCN

Listar Regras de Tabela de Roteamento em uma VCN

# list route table rules in VCN $VCN in compartment $C 
oci network route-table list -c $C --vcn-id $VCN