No cenário atual de infraestrutura em nuvem, o desafio das empresas brasileiras não é apenas conectar serviços, mas sim como fazer isso seguindo princípios rigorosos de conformidade e least-privilege. Até recentemente, na Oracle Cloud Infrastructure (OCI), o uso do Service Gateway era a norma para acessar a Oracle Service Network (OSN) sem expor o tráfego à internet pública. No entanto, essa abordagem apresentava um modelo de "tudo ou nada": ao abrir o gateway, liberava-se acesso a todos os serviços da OSN na região.
Para times de engenharia e segurança que operam sob mandatos de conformidade estritos, essa amplitude era um risco. O mercado exigia um controle mais granular para mitigar riscos de exfiltração de dados e garantir que apenas os serviços estritamente necessários fossem alcançáveis por determinadas instâncias. É aqui que entra o OCI Private Service Access (PSA).
O que muda com o OCI Private Service Access (PSA)?
O PSA representa uma evolução estratégica na conectividade privada. Em vez de uma porta aberta para toda a malha de serviços da Oracle, o PSA permite criar endpoints privados específicos para um serviço, integrando-se diretamente à sua VCN com endereços IP privados.
Isso permite que arquitetos de soluções apliquem o modelo Zero Trust de forma prática, restringindo a conectividade apenas para serviços confiáveis e monitorando esse tráfego de maneira isolada.
Caso de Uso: Acesso ao Serviço YUM do Oracle Linux
Tradicionalmente, para realizar o patching de instâncias Oracle Linux de forma privada, era necessário o Service Gateway. Com o PSA, o cenário muda para melhor:
Ao implementar o PSA para o serviço YUM, as empresas conseguem:
- Granularidade total: O acesso é limitado exclusivamente ao repositório YUM, e não a toda a OSN.
- Endereçamento Privado: O tráfego flui através de IPs privados dentro da sua subnet, eliminando a complexidade de gerenciar rotas genéricas de gateway.
- Políticas de Rede Alinhadas ao ZPR: É possível aplicar políticas de Zero Trust Packet Routing (ZPR), garantindo que apenas recursos específicos tenham permissão para buscar atualizações.
Como funciona na prática
A implementação do PSA é simplificada e foca na eficiência operacional. O fluxo segue uma lógica de provisionamento de endpoint privado diretamente na infraestrutura existente.
Após habilitar o PSA no console da OCI e selecionar o serviço alvo (neste caso, o Oracle Linux YUM Service), a plataforma provisiona automaticamente o private endpoint.
O fluxo de configuração padrão para os times de DevOps envolve:
- Deployment do PSA: Seleção da VCN, subnet e do serviço específico.
- Políticas de Rede: Configuração das regras que permitem aos recursos utilizarem o PSA, sem a necessidade de rotas de saída para a internet (IGW) ou Service Gateway.
- Validação: Execução de comandos padrão como
sudo yum updateem instâncias privadas dentro da subnet.
Para o time de operações, a visibilidade é um diferencial. O PSA oferece métricas nativas no console, permitindo monitorar o throughput e a saúde do acesso privado de forma dedicada.
Por que essa atualização é relevante para empresas brasileiras?
A adoção do PSA resolve três pontos críticos de dor para CIOs e gestores de infraestrutura no Brasil:
- Conformidade (Compliance): Facilita o atendimento a normas auditáveis ao garantir que o tráfego de patching e gerenciamento de SO nunca saia do perímetro privado.
- Segurança Nativa: Minimiza a superfície de ataque ao expor apenas o serviço estritamente necessário.
- Simplicidade Operacional: Reduz a carga cognitiva sobre os times de rede, eliminando a necessidade de gerenciar NAT Gateways complexos ou IPs públicos apenas para atualizações de software.
Considerações Finais
O Private Service Access marca uma mudança de paradigma na OCI: do acesso amplo para o acesso granular. Começar pelo serviço YUM do Oracle Linux é um passo lógico para qualquer empresa que preza pela integridade de seus servidores e conformidade de rede. À medida que a Oracle expandir o suporte do PSA para outros serviços, a capacidade de construir arquiteturas secure-by-design se tornará ainda mais potente.
Artigo originalmente publicado por Cristian Sarafoleanu e Luis Catalan Hernandez em cloud-infrastructure.
