Oracle Cloud Infrastructure - Dokumentation

Möglichkeiten zum Sichern eines Netzwerks

OCI bietet verschiedene Möglichkeiten, die Sicherheit für ein Cloud-Netzwerk und Compute-Instanzen zu kontrollieren:

  • Öffentliche oder private Subnetze: Sie können ein Subnetz als privat definieren. Das bedeutet, dass Instanzen in dem Subnetz nicht öffentliche IP-Adressen haben können. Weitere Informationen finden Sie unter Öffentliche und private Subnetze im Vergleich.
  • Sicherheitsregeln: Dienen zur Steuerung des Traffics auf Paketebene in eine oder aus einer Instanz. Sie konfigurieren Sicherheitsregeln in der Oracle Cloud Infrastructure-API oder -Konsole. Zur Implementierung von Sicherheitsregeln können Sie Netzwerksicherheitsgruppen oder Sicherheitslisten verwenden. Weitere Informationen finden Sie unter Sicherheitsregeln.
  • Zero Trust Packet Routing: Sie können Zero Trust Packet Routing (ZPR) zusammen mit oder anstelle von Netzwerksicherheitsgruppen verwenden, um den Netzwerkzugriff auf OCI-Ressourcen zu kontrollieren, indem Sie ihnen Sicherheitsattribute zuweisen und ZPR-Policys erstellen, um die Kommunikation zwischen ihnen zu steuern. Weitere Informationen finden Sie unter Zero Trust Packet Routing.
    Achtung

    Wenn ein Endpunkt ein ZPR-Sicherheitsattribut aufweist, muss der Traffic zum Endpunkt ZPR-Regeln sowie alle NSG- und Sicherheitslistenregeln erfüllen. Beispiel: Wenn Sie bereits NSGs verwenden und ein Sicherheitsattribut auf einen Endpunkt anwenden, wird der gesamte Traffic zum Endpunkt blockiert, sobald das Attribut angewendet wird. Ab diesem Zeitpunkt muss eine ZPR-Policy Traffic zum Endpunkt zulassen.
  • Firewallregeln: Dienen zur Steuerung des Traffics auf Paketebene in oder aus einer Instanz. Sie konfigurieren Firewallregeln direkt in der Instanz selbst. Beachten Sie, dass Plattformimages, die Oracle Linux ausführen, automatisch Standardregeln enthalten, die Ingress-Traffic auf TCP-Port 22 für SSH-Traffic zulassen. Die Windows-Images enthalten ebenfalls Standardregeln, die Ingress-Traffic auf TCP-Port 3389 für den Remotedesktopzugriff zulassen. Weitere Informationen finden Sie unter Plattformimages.
    Wichtig

    Firewallregeln und Sicherheitsregeln sind jeweils auf Instanzebene wirksam. Sicherheitslisten werden jedoch auf Subnetzebene konfiguriert, was bedeutet, dass alle Ressourcen in einem spezifischen Subnetz denselben Satz von Sicherheitslistenregeln unterliegen. Außerdem gelten die Sicherheitsregeln in einer Netzwerksicherheitsgruppe nur für die Ressourcen in der Gruppe. Stellen Sie bei der Behebung von Fehlern beim Zugriff auf eine Instanz sicher, dass alle folgenden Elemente korrekt festgelegt sind: die Netzwerksicherheitsgruppen, in denen sich die Instanz befindet, die mit dem Subnetz der Instanz verknüpften Sicherheitslisten und die Firewallregeln der Instanz.

    Wenn auf einer Instanz Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 oder Oracle Linux Cloud Developer 8 ausgeführt wird, müssen Sie firewalld für die Interaktion mit den iptables-Regeln verwenden. Zu Referenzzwecken sind hier Befehle zum Öffnen eines Ports (in diesem Beispiel 1521) aufgeführt:

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

    Bei Instanzen mit einem iSCSI-Boot-Volume kann der vorherige --reload-Befehl Probleme verursachen. Weitere Einzelheiten und einen Workaround finden Sie unter Bei den Instanzen hängt das System, nachdem "firewall-cmd --reload" ausgeführt wurde.

  • Gateways und Routentabellen: Dienen zum Steuern des allgemeinen Trafficflusses von einem Cloud-Netzwerk zu anderen Zielen (das Internet, ein On-Premise-Netzwerk oder ein anderes VCN). Sie konfigurieren Gateways und Routentabellen des Cloud-Netzwerks in der Oracle Cloud Infrastructure-API oder -Konsole. Weitere Informationen zu Gateways finden Sie unter Netzwerkkomponenten. Weitere Informationen zu Routentabellen finden Sie unter VCN-Routentabellen.
  • IAM-Policys: Dienen zur Steuerung, wer Zugriff auf die Oracle Cloud Infrastructure-API oder die Konsole selbst hat. Sie können steuern, wie und auf welche Cloud-Ressourcen zugegriffen werden kann. Sie können beispielsweise steuern, wer die Netzwerke und Subnetze einrichten kann oder wer Routentabellen, Netzwerksicherheitsgruppen oder Sicherheitslisten aktualisieren kann. Sie konfigurieren Policys in der Oracle Cloud Infrastructure-API oder -Konsole. Weitere Informationen finden Sie unter Zugriffskontrolle.
  • Sicherheitszonen: Um sicherzustellen, dass das Netzwerk und andere Cloud-Ressourcen den Sicherheitsrichtlinien und den Best Practice von Oracle entsprechen, können Sie sie in einer Sicherheitszone erstellen. Eine Sicherheitszone ist mit einem Compartment verknüpft und prüft alle Netzwerkmanagementvorgänge anhand von Sicherheitszonen-Policys. Beispiel: In einer Sicherheitszone ist die Verwendung öffentlicher IP-Adressen nicht zulässig und darf nur private Subnetze enthalten. Weitere Informationen finden Sie unter Überblick über Sicherheitszonen.