Políticas de red
Azure
De forma predeterminada, puede conectarse a la base de datos NPSaaS o conectarse desde la base de datos a cualquier dispositivo con cualquier dirección IP o nombre de host. Al utilizar la característica de políticas de red en la consola web, puede controlar el conjunto de direcciones IP y nombres de host a los que la base de datos NPSaaS puede conectarse o desde los que puede conectarse. La característica de políticas de red solo está soportada en Azure.
-
Si desea restringir el destino al que su instancia NPSaaS puede llegar o desde el que puede ser alcanzada, consulte Permitir conexiones sólo desde un conjunto definido de orígenes con las direcciones IP y nombres de host especificados.
-
Si desea restringir los orígenes que pueden ponerse en contacto con la instancia de NPSaaS o desde la que se puede acceder a la instancia, consulte Permitir conexiones solo desde local y realizar copias de seguridad, cargar o descargar datos utilizando Cloud Object Store.
Limitaciones
- Las políticas de red sólo admiten direcciones "
IPv4
". - Las políticas de red pueden dar soporte a un máximo de 1000 políticas de red.
- Las políticas de red restringen el tráfico solo a la base de datos NPSaaS . No son aplicables a otros componentes, como por ejemplo la consola web.
Factores de formulario
Las políticas de red se definen mediante:
Al utilizar estos factores de formulario, puede crear una política de red como una política allow
o block
.
Bloquear y permitir políticas
Política de bloque
Especifica un tipo de política que le impide lo siguiente:
-
Conexión a la base de datos NPSaaS utilizando cualquier dispositivo o servicio.
-
Conexión de la base de datos NPSaaS a cualquier dispositivo o servicio que tenga el nombre de host especificado o una dirección IP en el rango especificado por CIDR.
Permitir política
Especifica una política que le permite realizar lo siguiente:
-
Conexión a la base de datos NPSaaS utilizando cualquier dispositivo o servicio.
-
Conexión de la base de datos NPSaaS a cualquier dispositivo o servicio que tenga el nombre de host especificado o una dirección IP en el rango especificado por CIDR.
Puede utilizar la combinación de políticas de permitir y bloquear (denegar) para restringir las conexiones a y desde la base de datos NPSaaS al conjunto proporcionado de direcciones IP y nombres de host.
Definición de políticas de red
Definición de políticas de red con CIDR (Classless Inter-Domain Routing)
Con NPSaaS, puede especificar un rango de direcciones IP utilizando CIDR (Classless Inter-Domain Routing) en políticas de red.
Una notación CIDR es una representación compacta de una dirección IP y su máscara de red asociada.
<ip_address>/<prefix_length>
Por ejemplo, 76.168.0.0/24
representa direcciones IP en el rango de 76.168.0.0
y 76.168.0.62
0.0.0.0/0
es un caso especial de una notación CIDR, que está permitido. Utilícelo con precaución debido a las siguientes razones:
-
Cuando utiliza
0.0.0.0/0
como una política de bloques, todo el tráfico hacia y desde la base de datos NPSaaS está restringido. -
Cuando utiliza
0.0.0.0/0
como una política de permitir, se permite todo el tráfico hacia y desde la base de datos NPSaaS.
Puedes utilizar rangos CIDR para representar direcciones IP públicas y privadas. Los dispositivos o servicios que están en una red privada o de empresa que utiliza direcciones IP privadas tienen pasarelas. Estas pasarelas suelen tener interfaces de red con direcciones IP públicas, que hacen la conversión de direcciones de red (NAT). Esto permite a las entidades de la red privada conectarse a servicios externos.
Debe utilizar un rango de CIDR que represente solo las direcciones IP públicas de las pasarelas cuando establezca las políticas de allow
y block
.
No especifique un rango de CIDR que represente el espacio de direcciones IP privadas como políticas de bloque. Puede afectar al funcionamiento de la base de datos.
Definición de políticas de red con nombres de host DNS
Con NPSaaS, puede especificar nombres de host DNS en las políticas de red.
Los nombres de host DNS son nombres que se asignan a dispositivos o servicios que sirven como identidad de red y se utilizan para conectarse con ellos. Un ejemplo de nombre de host DNS es cloud.ibm.com
.
Si utiliza un nombre de host DNS en políticas, el nombre DNS local resuelve el nombre de host en una única dirección IP estática en la instancia de NPSaaS para que la política pueda funcionar de forma eficaz.
Si el nombre de host se resuelve en varias direcciones IP o si las direcciones IP asignadas pueden cambiar (por ejemplo, equilibrador de carga), asegúrese de proporcionar el rango de CIDR de esas direcciones IP en la política en lugar del nombre de host DNS.
Resolución de servidor de nombres de dominio (DNS)
Cuando utiliza el nombre de host DNS en una política, la base de datos intenta resolver el dominio utilizando el servidor de nombres local en el nodo. Si utiliza nombres de dominio que normalmente no son almacenados en la memoria caché por los servidores de nombres locales, por ejemplo, un servicio que no es nativo o proporcionado por el proveedor de infraestructura de la nube, los servidores de nombres locales no pueden resolverlo.
En estos casos de ejemplo, puede realizar una de las acciones siguientes:
-
Añada la dirección IP del servidor DNS en la regla de permitir para que la base de datos pueda resolver el nombre de host a su dirección IP.
-
Proporcione el rango de CIDR completo que utiliza el dispositivo o el servicio.
Orden de evaluación de las políticas de red
Las políticas allow se evalúan en primer lugar. A continuación, las políticas deny.
Durante la evaluación, cada política se evalúa en el orden en que se han definido, desde el primero al último.
Se aplica la primera regla que coincide con la conexión entrante o saliente y se ignoran las reglas subsiguientes para esa conexión.
Puede encontrar ejemplos de creación de políticas en Ejemplos de políticas de red.
Creación y listado de políticas de red
Puede crear políticas de red si pertenece al grupo ADMINISTRATORS
.
Para crear y ver las políticas de red existentes en la consola web NPSaaS, seleccione Administración > Configuración > Políticas de red. Para obtener más información sobre cómo crear políticas de red con la consola web, consulte Políticas de red con la consola web.
Ejemplos
A continuación se muestran ejemplos de cómo aplicar políticas de red.
Permitir conexiones solo desde un conjunto definido de orígenes con las direcciones IP y nombres de host especificados
Si desea permitir conexiones a la base de datos NPSaaS solo desde dispositivos con direcciones IP en el rango representado por CIDR-1, CIDR-2 y nombres de host H1 y H2, y rechazar conexiones de todos los demás orígenes, siga estos pasos.
-
Cree las políticas en orden de
Rule 1
aRule 5
.Rule 1: CIDR-1 (allow) Rule 2: CIDR-2 (allow) Rule 3: H1 (allow) Rule 4: H2 (allow) Rule 5: 0.0.0.0/0 (deny)
Estas reglas garantizan que las conexiones se comparen con
Rule 1-4
para determinar si se pueden permitir. Si no están permitidas,Rule 5
las rechaza.Si alguien intenta conectarse a la base de datos NPSaaS con nombres de host
H1
yH2
, la base de datos primero intenta resolver el nombre de host a su dirección IP para completar la conexión. Dado que es posible que la base de datos no tenga la entrada de DNS almacenada en memoria caché localmente, la base de datos intenta resolver el nombre de host utilizando un servidor DNS público. La búsqueda de DNS falla porque la regla 5 está en su lugar. Como resultado, el intento de conexión falla. -
Añada el nombre de host del servidor DNS autorizado público o CIDR (DNS-1) a las reglas de permiso para que la búsqueda de DNS sea satisfactoria.
Rule 1: CIDR-1 (allow) Rule 2: CIDR-2 (allow) Rule 3: H1 (allow) Rule 4: H2 (allow) Rule 5: DNS-1 (allow) Rule 6: 0.0.0.0/0 (deny)
La nueva regla se añade como regla allow (Regla 5).
Permitir conexiones solo desde instalaciones locales y realizar copias de seguridad, cargar o escargar datos utilizando el almacén de objetos en la nube
Si desea que las aplicaciones o los usuarios solo de su red local se conecten a su base de datos NPSaaS, siga estos pasos.
-
Utilice una pasarela NAT pública.
La red local es una red de empresa privada, que utiliza un espacio de direcciones IP privado. Si las aplicaciones y los usuarios desean conectarse a servicios fuera de la red local, deben utilizar una pasarela NAT pública.
La pasarela NAT pública tiene interfaces con direcciones IP públicas en un rango representado por CIDR-1 y sustituye la dirección IP de origen de las instancias de la red de empresa por una de la dirección IP pública de la pasarela NAT.
Como resultado, las aplicaciones externas ven todo el tráfico que proviene de una de las interfaces públicas de la pasarela NAT que está representada por CIDR-1.
-
Añada CIDR-1 como regla
allow
(Regla 1).Rule 1: CIDR-1 (allow)
-
Añada una regla deny all (Regla 2) para restringir las conexiones que se originan sólo desde la red local.
Rule 1: CIDR-1 (allow) Rule 2: 0.0.0.0/0 (deny)
-
Realice conexiones desde la base de datos a los respectivos puntos finales del almacén de objetos en la nube (como AWS S3 y Azure Blob Storage).
Debe añadir puntos finales a la lista de elementos permitidos si desea que los administradores de base de datos de copia de seguridad de datos en el almacén de objetos en la nube y los desarrolladores utilicen tablas externas en aplicaciones para cargar y descargar datos.
Adición de punto final AWS S3 a políticas de permiso de red
Si tiene un grupo, por ejemplo, en la región us-east-1
y desea utilizarlo para copias de seguridad y carga y descarga de tablas externas, siga estos pasos.
-
Proporcione el rango de CIDR que representa el rango de direcciones IP completo que está asociado con el punto final de S3.
Para recuperar los rangos de CIDR que utilizan los puntos finales de S3 en una región AWS determinada:
-
Siga las instrucciones de ¿Cómo puedo encontrar los rangos de direcciones IP utilizados por Amazon S3?.
curl https://ip-ranges.amazonaws.com/ip-ranges.json |\ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="S3") | .ip_prefix' 18.34.0.0/19 54.231.0.0/16 52.216.0.0/15 18.34.232.0/21 3.5.0.0/19 44.192.134.240/28 44.192.140.64/28
-
Añada los rangos de CIDR a las listas de permiso.
Rule 1: CIDR-1 (allow) Rule 2: 18.34.0.0/19 (allow) Rule 3: 54.231.0.0/16 (allow) Rule 4: 52.216.0.0/15 (allow) Rule 5: 18.34.232.0/21 (allow) Rule 6: 3.5.0.0/19 (allow) Rule 7: 44.192.134.240/28 (allow) Rule 8: 44.192.140.64/28 (allow) Rule 2: 0.0.0.0/0 (deny)
Los puntos finales de AWS S3 no tienen una única dirección IP asociada. La adición del nombre de host de punto final S3 a la lista de permiso puede dar resultados incoherentes.
-
-
Si desea utilizar o conectarse desde cualquier otro servicio AWS, añada a la regla
allow
el rango de CIDR que está asociado con esos puntos finales de servicio respectivos.Para recuperar el rango de CIDR para varios servicios AWS:
-
Siga las instrucciones de aquí.
-
Añádalos como una regla de permiso según sea necesario.
-
La adición de puntos finales de Azure Blob Storage a las políticas de permiso de red.
Si tiene cuentas de almacenamiento, por ejemplo, en la región East US 2
con Azure Blob Storage para copias de seguridad y carga y descarga de tablas externas, siga estos pasos.
-
Proporcione el rango de CIDR que representa el rango de direcciones IP completo que se asocia con el punto final de Azure Blob Storage.
Para recuperar los rangos de CIDR que utilizan los puntos finales de almacenamiento en una región de Azure determinada:
-
Siga las instrucciones de Azure IP address ranges notifications ' {: external}.
> $serviceTags = Get-AzNetworkServiceTag -Location eastus2 > $serviceTags.Values | Where-Object { $_.Name -like "Storage*" -and $_.Properties.Region -eq "eastus2" } Name : Storage.EastUS2 System Service : AzureStorage Region : eastus2 Address Prefixes : {13.68.120.64/28, 13.77.112.16/28, 13.77.112.32/28, 13.77.112.112/28…} Change Number : 6 Name : Storage.EastUS2Stage System Service : AzureStorage Region : eastus2 Address Prefixes : 137.116.2.64/27 Change Number : 1
-
Añada los rangos de CIDR a las listas de permiso.
Rule 1: CIDR-1 (allow) Rule 2: 13.68.120.64/28 (allow) Rule 3: 13.77.112.16/28 (allow) Rule 4: 13.77.112.32/28 (allow) Rule 5: 13.77.112.112/28 (allow) Rule 6: 137.116.2.64/27 (allow) Rule 2: 0.0.0.0/0 (deny)
-
-
Si desea utilizar o conectarse desde cualquier otro servicio de Azure, añada a la regla de permiso el rango de CIDR que está asociado con esos puntos finales de servicio respectivos. Para recuperar el rango de CIDR para varios servicios de Azure:
-
Siga las instrucciones desde aquí ' {: external}.
-
Añada los rangos de CIDR como una regla de permiso según sea necesario.
Los puntos finales de Azure Blob Storage no tienen una única dirección IP asociada. La adición del nombre de host de punto final a la lista de elementos permitidos puede dar resultados incoherentes.
-
AWS
Por defecto, la base de datos NPSaaS es accesible desde cualquier dispositivo con cualquier dirección IP. Sin embargo, la nueva función de políticas de red de AWS
para conexiones Ingress permite especificar y controlar las direcciones
IP a las que se permite conectarse a la base de datos NPSaaS, de forma similar a la funcionalidad proporcionada por las políticas de red de Azure.
Cómo habilitar
Para utilizar esta función, debe crear un ticket de soporte con IBM y proporcionar una lista de IPv4 en formato CIDR que se incluirán en la lista blanca.
Una vez implementada esta función, se bloqueará el acceso a la base de datos NPSaaS a cualquier dirección IP no incluida en la lista blanca.
Limitaciones
- Sólo admite direcciones IPv4 o rangos en formato CIDR.
- No admite permitir o bloquear conexiones de salida.
- Restringe el tráfico exclusivamente a la base de datos NPSaaS y no lo apliques a otros componentes, como la consola web.