No cenário atual de infraestrutura crítica, o acesso seguro e personalizado a serviços de nuvem não é mais um diferencial, mas um requisito básico de conformidade e resiliência. A Oracle Cloud Infrastructure (OCI) reforça esse posicionamento com o lançamento do Private Service Access (PSA).
A proposta do PSA é transformar a forma como as cargas de trabalho se comunicam com os serviços da Oracle: em vez de rotas amplas, o foco é a granularidade. Imagine selecionar precisamente quais APIs de serviço sua infraestrutura pode alcançar de forma privada, tornando cada conexão auditável e invisível para a internet pública.
O que é o Private Service Access (PSA) na prática?
Do ponto de vista de arquitetura, o PSA atua como uma porta privada exclusiva para cada serviço Oracle. Ao configurar o PSA, um IP privado de uma subnet escolhida é atribuído ao serviço de destino (como Object Storage ou serviços de base de dados). O Private DNS realiza o mapeamento automático, garantindo que o FQDN (Fully Qualified Domain Name) existente aponte para esse IP privado.
Para times de engenharia no Brasil, isso significa que o tráfego das aplicações atuais passa a utilizar esse caminho seguro imediatamente, sem necessidade de qualquer alteração de código ou refatoração de lógica de aplicação.
Impactos Estratégicos para Empresas Brasileiras
O PSA resolve pontos de dor críticos para organizações que operam sob regulações rigorosas (como LGPD e normas do BACEN):
- Segurança Zero Trust: Permite a integração com Zero Trust Packet Routing (ZPR) e Network Security Groups (NSGs). É possível definir que apenas instâncias com tags específicas (ex:
app:backend) acessem endpoints de banco de dados, reduzindo drasticamente a superfície de ataque. - Proteção contra Exfiltração de Dados: O PSA impõe o uso de credenciais da própria tenancy. Ele bloqueia o uso de credenciais e Pre-Authenticated Requests (PARs) de outras tenancies. Se um atacante tentar mover dados para um bucket externo (cross-tenancy), o PSA bloqueará a tentativa por padrão.
- Handoff de Performance: O tráfego não apenas permanece privado, mas flui de forma otimizada pela rede interna da Oracle, oferecendo latência previsível e alta disponibilidade sem custos adicionais de licença.
No diagrama acima, vemos o PSA atuando como o gateway seguro para o Object Storage. As chamadas de API são resolvidas para o IP privado dentro da sua VCN, onde políticas de ZPR e regras de NSG são aplicadas.
Cenários Reais de Aplicação
1. Isolamento de Serviços Core
Para empresas que precisam consumir APIs de infraestrutura (Core Services), o PSA garante que essa comunicação não transite por caminhos públicos. Ao acessar iaas.us-ashburn-1.oci.oraclecloud.com, o tráfego permanece em faixas privadas, eliminando riscos de interceptação.
2. Integração Híbrida Simplificada
Em cenários de nuvem híbrida, sistemas On-Premises que precisam falar com serviços OCI podem utilizar o PSA. Ao apontar o DNS local para o resolver da VCN, o sistema recebe o IP privado do PSA, mantendo o canal limpo e em conformidade com auditorias de segurança.
3. Máximo Rigor com IAM Deny
Para maximizar a postura de segurança, gestores podem implementar políticas de IAM Deny. Isso garante que serviços sensíveis sejam acessados exclusivamente via PSA, bloqueando qualquer tentativa via Service Gateway ou caminhos públicos, mesmo com credenciais válidas.
Exemplo de política para Object Storage:
Deny any-user to inspect object-family in tenancy where any {not request.gateway.id, request.gateway.type != 'privateserviceaccess'}
Conclusão
O Private Service Access é um componente vital para empresas que buscam elevar sua maturidade operacional na nuvem. Ele oferece o controle necessário para desenhar redes cada vez mais granulares e seguras, eliminando a dicotomia entre facilidade de acesso à nuvem e proteção de dados críticos.
O PSA já está disponível em todas as regiões comerciais da OCI, incluindo as regiões no Brasil, sem custos adicionais de serviço.
Artigo originalmente publicado por Brandon Beck em cloud-infrastructure.
