Service Gateway, Private Endpoint ou Private Service Access no OCI: Qual escolher?
Este artigo analisa as três formas de acessar serviços do OCI privadamente: Service Gateway, Private Endpoint e Private Service Access (PSA). Enquanto o Service Gateway oferece simplicidade operacional para acessos regionais, o Private Endpoint foca na isolação de recursos específicos. Já o PSA, baseado em DNS, permite acesso via IP privado mantendo os FQDNs padrão da API. A conclusão aponta que a escolha depende do equilíbrio necessário entre granularidade de controle, segurança e complexidade de rede.
Ao desenhar arquiteturas de rede no OCI, a necessidade de conectar workloads privados aos serviços cloud sem transitar pela internet pública é um requerimento padrão de segurança. O OCI oferece três mecanismos distintos para esse fim: Service Gateway (SGW), Private Endpoint (PE) e Private Service Access (PSA). Embora todos mantenham o tráfego dentro da rede privada da Oracle, as escolhas de roteamento, resolução DNS e o nível de controle imposto variam significativamente.
O que é o Service Gateway (SGW)?
O Service Gateway é a rota de menor atrito para acessar serviços Oracle de forma privada. Regional e acoplado à VCN, ele utiliza rotas baseadas em CIDR labels para direcionar o tráfego. Sua facilidade de operação se dá pela escala: um único gateway serve múltiplas subnets e serviços. É a escolha natural para migrações onde a simplicidade é o foco, embora ainda utilize os endereços de serviço públicos, mesmo que o tráfego não deixe a rede backbone da Oracle.
Quando usar o Private Endpoint (PE)?
O Private Endpoint oferece um nível superior de isolamento, criando uma VNIC dedicada no seu subnet para acessar um recurso de serviço específico. Você gerencia o ciclo de vida desse endpoint, incluindo regras de segurança, DNS e rotas. É a melhor opção para cenários de alta criticidade onde a segurança resource-level é mandatória ou para viabilizar funcionalidades como o Reverse Connection Endpoint (RCE), permitindo que serviços OCI estabeleçam conexões seguras de volta para sua infraestrutura.
O que traz de novo o Private Service Access (PSA)?
O Private Service Access (PSA) foca na abstração da API. Ele cria um IP privado dedicado em sua VCN para um determinado API endpoint. Diferente do PE, ele é orientado à API do serviço e não a um único recurso. O grande diferencial é a transparência: sua aplicação continua utilizando o FQDN padrão, e a resolução DNS aponta internamente. Para times de engenharia, isso significa maior controle contra exfiltração de dados via políticas de IAM e Zero Trust Packet Routing (ZPR).
Como comparar as opções para sua arquitetura?
| Característica | Service Gateway | Private Endpoint | Private Service Access |
|---|---|---|---|
| Escopo | Broad (Regional) | Recurso Específico | Serviço/API |
| DNS | Opcional | FQDN único do recurso | FQDN padrão do serviço |
| Controle | Moderado | Alto (Granular) | Alto (Por API) |
Coexistência e migração
Estes modelos não são excludentes. Em ambientes enterprise brasileiros, é comum encontrar arquiteturas híbridas onde o SGW garante conectividade geral, enquanto o PSA atua em fluxos de dados sensíveis e o PE isola recursos críticos como bancos de dados. A estratégia de DNS será sua principal aliada na gestão dessa transição: ao promover uma migração de SGW para PSA, certifique-se de validar se as políticas de IAM e NSGs refletem a nova natureza privada do endpoint.
Conclusão
A escolha entre os modelos depende do trade-off entre facilidade de implementação e a granularidade de controle exigida pela sua política de segurança. O Service Gateway resolve o básico com eficiência; o Private Endpoint atende à necessidade de isolamento de recursos; e o Private Service Access entrega o equilíbrio ideal entre controle de segurança e manutenibilidade para APIs.
Perguntas Frequentes
-
Quando priorizar o uso do Service Gateway sobre as outras opções?
O Service Gateway é ideal para cenários onde a simplicidade operacional é prioritária e o acesso regional abrangente aos serviços do Oracle é aceitável, servindo bem como ponto de partida para migrações. -
Qual a principal vantagem técnica de utilizar Private Service Access (PSA)?
O PSA permite o acesso a APIs de serviços através de IPs privados mantendo o FQDN padrão, o que evita a necessidade de alterações em URLs de aplicações enquanto habilita controles de segurança mais rígidos, como a mitigação de exfiltração de dados. -
Em que situação o Private Endpoint (PE) é a escolha correta?
O PE é indicado quando você precisa de isolamento de rede em nível de recurso específico, necessita de uma interface dedicada ao serviço ou precisa utilizar a funcionalidade de Reverse Connection Endpoint (RCE). -
É possível utilizar mais de um método de acesso privado simultaneamente?
Sim, as opções podem coexistir no mesmo ambiente OCI. A resolução via DNS geralmente determina o caminho de tráfego, permitindo uma transição gradual e flexível entre os métodos conforme a evolução dos requisitos de segurança.
Artigo originalmente publicado em cloud-infrastructure.
