1. تأمين أحمال عمل التطبيق باستخدام جدار الحماية VM - eries لـ Palo Alto Networks
  2. تأمين أحمال عمل التطبيق باستخدام جدار الحماية VM - eries لشبكات بالو ألتو

تأمين أحمال عمل التطبيق باستخدام جدار الحماية VM - eries لشبكات بالو ألتو

نقل أحمال عمل التطبيق أو توسيعها بأمان من Oracle E-Business Suite أو PeopleSoft في السحابة باستخدام جدران الحماية الظاهرية من الجيل التالي لشبكة بالو ألتو (NGFW).

تعمل شركة Palo Alto Networks VM - eries الافتراضية NGFW على تأمين بيئات متعددة السحابات من خلال توفير رؤية كاملة لحركة مرور التطبيقات والتحكم في التطبيقات المخصصة، وإدارة متسقة لجدار الحماية عبر السحابة وإنفاذ السياسات، والحماية من التهديد باستخدام الآلات ومنع التسريح، وإمكانات النشر والتزويد التلقائية لمواكبة حتى أكثر البيئات ديناميكية.

يستند الأمان في السحابة إلى نموذج مسئولية مشترك. يعد Oracle مسئولاً عن تأمين البنية الأساسية الأساسية، مثل مرافق مركز البيانات والأجهزة والبرامج لإدارة العمليات والخدمات السحابية. العملاء مسؤولون عن تأمين أحمال العمل وتكوين خدماتهم وتطبيقاتهم بشكل آمن للوفاء بالتزاماتهم بالامتثال.

توفر جدران الحماية طراز Palo Alto Networks VM - eries منع التهديدات بشكل متسق وتأمين الشبكة الداخلية عبر بيئات السحابة، مما يساعد فرق أمان الشبكة على استعادة الرؤية والتحكم في حركة المرور في شبكاتها السحابية. تتضمن السمات الرئيسية لشبكات بالو ألتو VM - eries جدار الحماية من الطبقة 7، والاشتراكات الأمنية المستلمة بواسطة السحابة، وإدارة الأمان الموحدة.


ما يلي هو وصف pan-advanced-security.png
وصف الشكل التوضيحي pan-advanced-security.png

البنية

توضح هذه البنية المرجعية كيف يمكن للمؤسسات حماية تطبيقات Oracle ، مثل Oracle E - Business Suite وPeopleSoft ، المنشورة في Oracle Cloud Infrastructure باستخدام جدران حماية Palo Alto Networks VM - eries.

ولحماية تدفقات حركة المرور هذه، توصي شركة بالو ألتو نيتوركس بتجزئة الشبكة باستخدام لوحة وصل وطوبولوجيا متحدثة، حيث يتم توجيه حركة المرور عبر مركز مركزي وترتبط بشبكات مختلفة (متحدثون). يتم توجيه كل حركة المرور بين المتحدثين، سواء من الإنترنت وإليها أو من الداخل أو إلى شبكة خدمات Oracle، من خلال لوحة الوصل ويتم تفتيشها باستخدام تقنيات منع التهديدات المتعددة الطبقات لجدار حماية بالو ألتو نت ستريز.

نشر كل طبقة من مستويات التطبيق في شبكة السحابة الظاهرية الخاصة بها (VCN)، والتي تعمل ككلام. يحتوي لوحة الوصل VCN على مجموعة عالية التوافر من جدار حماية Palo Alto Networks VM - eries وبوابة Oracle Internet وبوابة التوجيه الديناميكية (DRG) وبوابة خدمة Oracle وبوابات التثبيت المحلية (LPG).

يتصل VCN الخاص بجهة الوصل بـ VCNs المتحدثة من خلال LPG أو من خلال إرفاق بطاقات واجهة الشبكة الظاهرية الثانوية (VNIC) بجدار حماية Palo Alto Networks VM - eries. تستخدم كل حركة المرور المتحدثة قواعد جدول التوجيه لتوجيه حركة المرور عبر مجموعات LPG إلى لوحة الوصل لتفتيشها بواسطة مجموعة التوافر العالية لجدار حماية Palo Alto Networks VM - eries.

يمكنك تكوين جدار حماية Palo Alto Networks VM - eries وإدارته محليًا، أو مركزيًا باستخدام Panorama، نظام Palo Alto Networks المركزي لإدارة الأمان. يساعد Panorama العملاء على تقليل التعقيد والتكاليف الإدارية الإضافية في إدارة التكوين والسياسات والبرامج وتحديثات المحتوى الديناميكي. باستخدام مجموعات الأجهزة والقوالب في Panorama، يمكنك إدارة التكوين الخاص بجدار الحماية محليًا على جدار الحماية وإنفاذ الأنظمة المشتركة عبر جميع جدران الحماية أو مجموعات الأجهزة.

يوضح الرسم البياني التالي هيكل المرجع هذا.


ما يلي هو وصف palo_alto_nw_vm_oci.png
وصف الشكل التوضيحي palo_alto_nw_vm_oci.png

حركة المرور الواردة بين الشمال والجنوب

يوضح المخطط التالي كيفية وصول حركة المرور الواردة بين الشمال والجنوب إلى طبقة تطبيق الويب من الإنترنت ومن مراكز البيانات البعيدة. يضمن هذا التكوين فتح ترجمة عناوين الشبكة (NAT) وسياسات التأمين على جدار حماية Palo Alto Networks VM - eries.


ما يلي هو وصف palo_alto_North _south_inbound.png
وصف الشكل التوضيحي palo_alto_North _south_inbound.png

حركة المرور للخارج بين الشمال والجنوب

يوضح الشكل التالي كيفية قيام الاتصالات الصادرة من تطبيق الويب وطبقات قاعدة البيانات إلى الإنترنت بتوفير تحديثات البرامج والوصول إلى خدمات الويب الخارجية. يضمن هذا التكوين تكوين NAT المصدر في نظام جدار الحماية VM - eries الخاص بشركة Palo Alto Networks للشبكات ذات الصلة.


ما يلي هو وصف palo_alto_North_south_outbound.png
وصف الشكل التوضيحي palo_alto_North _south_outbound.png

حركة المرور بين الشرق والغرب (الويب إلى قاعدة البيانات)

يوضح الرسم البياني التالي كيفية انتقال حركة المرور من تطبيق الويب إلى طبقة قاعدة البيانات.


ما يلي هو وصف palo_alto_east_west_web_db.png
وصف الشكل التوضيحي palo_alto_east_west_web_db.png

حركة المرور بين الشرق والغرب (قاعدة البيانات إلى الويب)

يوضح الرسم البياني التالي كيفية انتقال حركة المرور من طبقة قاعدة البيانات إلى تطبيق الويب.


ما يلي هو وصف palo_alto_east_west_db_web.png
وصف الشكل التوضيحي palo_alto_east_west_db_web.png

حركة المرور بين الشرق والغرب (تطبيق ويب لشبكة خدمات Oracle)

يوضح الرسم التخطيطي التالي كيفية انتقال حركة المرور من تطبيق الويب إلى شبكة خدمات Oracle. يضمن هذا التكوين تمكين إطارات Jumbo على واجهات جدار حماية Palo Alto Networks VM - eries.


ما يلي هو وصف palo_alto_east_west_webapp_osn.png
وصف الشكل التوضيحي palo_alto_east_west_webapp_osn.png

حركة المرور بين الشرق والغرب (Oracle Services Network to Web Application)

يوضح الرسم التخطيطي التالي كيفية انتقال حركة المرور من شبكة خدمات Oracle إلى تطبيق الويب.


ما يلي هو وصف palo_alto_east_west_osn_webapp.png
وصف الشكل التوضيحي palo_alto_east_west_osn_webapp.png

تشتمل البنية على المكونات التالية:

  • جدار حماية Palo Alto Networks VM - eries

    توفير جميع إمكانيات جدران الحماية المادية من الجيل التالي في شكل آلة افتراضية (VM)، وتوفير أمان الشبكة الداخلية ومنع التهديدات لحماية السحابات العامة والخاصة بشكل متسق.

  • طبقة تطبيق Oracle E-Business Suite أو PeopleSoft

    مكون من خوادم تطبيق Oracle E-Business Suite أو PeopleSoft ونظام الملفات.

  • طبقة قاعدة بيانات Oracle E-Business Suite أو PeopleSoft

    مكون من Oracle Database، ولكن ليس مقتصرًا على خدمة Oracle Database Exadata Cloud Service أو خدمات Oracle Database.

  • Region (المنطقة)

    منطقة Oracle Cloud Infrastructure هي منطقة جغرافية محلية تحتوي على مركز بيانات واحد أو أكثر، تسمى نطاقات الإتاحة. والمناطق مستقلة عن المناطق الأخرى، ويمكن لمسافات شاسعة أن تفصلها (عبر البلدان أو حتى القارات).

  • نطاقات الإتاحة

    نطاقات الإتاحة هي مراكز بيانات مستقلة ومستقلة داخل المنطقة. يتم عزل الموارد المادية في كل مجال إتاحة عن الموارد الموجودة في نطاقات الإتاحة الأخرى، مما يوفر تسامح الخطأ. لا تشترك نطاقات الإتاحة في البنية الأساسية مثل الطاقة أو التبريد أو شبكة نطاق الإتاحة الداخلية. ولذلك، فمن غير المرجح أن يؤثر الفشل في مجال واحد من مجالات التوافر الأخرى في المنطقة.

  • مجالات الخطأ

    نطاق الخطأ هو مجموعة من الأجهزة والبنى التحتية ضمن نطاق التوفر. يحتوي كل مجال إتاحة على ثلاثة مجالات خطأ مزودة بالطاقة والأجهزة المستقلة. عند توزيع الموارد عبر نطاقات أخطاء متعددة، يمكن لتطبيقاتك أن تتسامح مع فشل الخادم الفعلي وصيانة النظام وفشل الطاقة داخل نطاق خطأ.

  • شبكة السحابة الظاهرية (VCN) والشبكات الفرعية

    VCN شبكة قابلة للتخصيص ومحددة برمجيًا تقوم بإعدادها في منطقة Oracle Cloud Infrastructure. مثل شبكات مراكز البيانات التقليدية، توفر لك شبكات VCN التحكم الكامل في بيئة الشبكة. يمكن أن يحتوي VCN على كتل CIDR متعددة غير متداخلة يمكنك تغييرها بعد تكوين VCN. يمكنك تقسيم VCN إلى شبكات فرعية، والتي يمكن أن تكون في نطاق منطقة أو إلى نطاق إتاحة. تتكون كل شبكة فرعية من نطاق متجاور من العناوين لا يتداخل مع الشبكات الفرعية الأخرى في VCN. يمكنك تغيير حجم الشبكة الفرعية بعد التكوين. يمكن أن تكون الشبكة الفرعية عامة أو خاصة.

  • لوحة الوصل VCN

    تعد لوحة الوصل VCN شبكة مركزية يتم فيها توزيع جدران الحماية من طراز Palo Alto Networks VM - eries. يوفر الاتصال الآمن بكافة شبكات VCN وخدمات Oracle Cloud Infrastructure ونقاط النهاية والعملاء العموميين وشبكات مراكز البيانات المحلية.

  • VCN يتكلم طبقة التطبيق

    يحتوي VCN المتحدث بطبقة التطبيق على شبكة فرعية خاصة لاستضافة مكونات Oracle E-Business Suite أو PeopleSoft.

  • VCN يتكلم طبقة قاعدة البيانات

    يحتوي VCN المتحدث بطبقة قاعدة البيانات على شبكة فرعية خاصة لاستضافة قواعد بيانات Oracle.

  • موازن التحميل

    توفر خدمة Oracle Cloud Infrastructure Load Balancing توزيع حركة المرور التلقائي من نقطة إدخال واحدة إلى خوادم متعددة في الطرف الخلفي.

  • قائمة السرية

    بالنسبة لكل شبكة فرعية، يمكنك تكوين قواعد تأمين تحدد مصدر ووجهة ونوع حركة المرور التي يجب السماح بها داخل الشبكة الفرعية وخارجها.

  • جدول التوجيه

    تحتوي جداول التوجيه الافتراضية على قواعد لتوجيه حركة المرور من الشبكات الفرعية إلى الوجهات خارج VCN، وعادة ما يتم ذلك من خلال جيت واي.

    في لوحة الوصل VCN، لديك جداول التوجيه التالية:

    • جدول توجيه الإدارة المرفق بالشبكة الفرعية للإدارة التي لها توجيه افتراضي متصل بجيت واي الإنترنت.
    • جدول توجيه إلغاء الثقة المرفق بالشبكة الفرعية غير الموثوق بها أو VCN الافتراضي لتوجيه حركة المرور من لوحة الوصل VCN إلى أهداف الإنترنت أو المحلية.
    • جدول توجيه الثقة المرفق بالشبكة الفرعية للثقة يشير إلى قطعة CIDR الخاصة بناموسيات VCN المتحدثة من خلال مجموعات LPG المرتبطة.
    • جدول توجيه الإتاحة العالية المرفق بالشبكة الفرعية للإتاحة العالية، والذي يدير الإتاحة العالية بين طبعات جدار الحماية VM - eries من Palo Alto Networks.
    • يتم تحديد جدول مسار مميز وإرفاقه بجهاز LPG مرتبط لكل متحدث مرفق بجهاز التجميع. يقوم جدول التوجيه هذا بتوجيه كل حركة المرور (0.0.0.0/0) من مجموعة LPG المتحدثة المقترنة عبر واجهة Palo Alto Networks VM - eries Trust interface العائمة IP.
    • جدول مسار جيت واي خدمة Oracle المرفق بجيت واي خدمة Oracle لاتصال شبكة خدمات Oracle. يقوم هذا المسار بتوجيه كل حركة المرور (0.0.0.0/0) إلى IP العائم لواجهة جدار الحماية VM - eries في Palo Alto Networks.
    • لصيانة تماثل حركة المرور، تتم إضافة المسارات أيضًا إلى كل جدار حماية من طراز Palo Alto Networks VM - eries للإشارة إلى كتلة CIDR لحركة المرور التي تتحدث إلى IP (الداخلي) لجيت واي الافتراضية للشبكة الفرعية للثقة (عنوان IP لجيت واي الافتراضي المتاح في الشبكة الفرعية للثقة على لوحة الوصل VCN).
  • جيت واي إنترنت

    تسمح جيت واي الإنترنت بحركة المرور بين الشبكات الفرعية العامة في VCN والإنترنت العام.

  • جيت واي ترجمة عنوان الشبكة (NAT)

    تتيح جيت واي NAT للموارد الخاصة في VCN الوصول إلى المضيفين على الإنترنت، دون عرض تلك الموارد لاتصالات الإنترنت الواردة.

  • بوابة التثبيت المحلية (LPG)

    يتيح لك LPG إمكانية نظير VCN مع VCN آخر في نفس المنطقة. يعني النظير اتصال VCNs باستخدام عناوين IP الخاصة، دون المرور عبر الإنترنت أو التوجيه من خلال شبكتك المحلية.

  • جيت واي التوجيه الديناميكي (DRG)

    DRG جهاز توجيه ظاهري يوفر مسارًا لحركة مرور الشبكة الخاصة بين VCN وشبكة خارج المنطقة، مثل VCN في منطقة Oracle Cloud Infrastructure، أو شبكة محلية، أو شبكة في موفر سحابة آخر.

  • بوابة الخدمة

    توفر جيت واي الخدمة الوصول من VCN إلى خدمات أخرى، مثل Oracle Cloud Infrastructure Object Storage. تنتقل حركة المرور من VCN إلى خدمة Oracle عبر نسيج شبكة Oracle، ولا تمر عبر الإنترنت مطلقًا.

  • FastConnect

    يوفر Oracle Cloud Infrastructure FastConnect طريقة سهلة لإنشاء اتصال خاص ومخصص بين مركز البيانات وOracle Cloud Infrastructure. يوفر FastConnect خيارات عرض نطاق ترددي أعلى وتجربة شبكة أكثر موثوقية عند مقارنتها بالاتصالات المستندة إلى الإنترنت.

  • بطاقة واجهة الشبكة الافتراضية (VNIC)

    تحتوي الخدمات في مراكز بيانات Oracle Cloud Infrastructure على بطاقات واجهة شبكة فعلية (NIC). تتصل طبعات الآلة الافتراضية باستخدام NIC الافتراضية (VNIC) المقترنة برموز NIC الفعلية. تحتوي كل طبعة على VNIC أساسي يتم تكوينه وإرفاقه تلقائيًا أثناء التشغيل وهو متاح أثناء عمر الطبعة. يتم عرض DHCP على VNIC الأساسي فقط. يمكنك إضافة رموز VNIC الثانوية بعد تشغيل الطبعة. يجب تعيين IPs ثابتة لكل واجهة.

  • IPs الخاصة

    عنوان IPv4 خاص والمعلومات المرتبطة به لعنوان طبعة. يحتوي كل VNIC على IP خاص أساسي ويمكنك إضافة IPs خاص ثانوي وإزالته. يتم إرفاق عنوان IP الخاص الأساسي بطبعة أثناء تشغيل الطبعة ولا يتغير أثناء عمر الطبعة. كما يجب أن تنتمي IPs الثانوية إلى نفس CIDR للشبكة الفرعية VNIC. يتم استخدام IP الثانوي كمادة IP عائمة لأنها يمكن أن تتحرك بين وحدات VNIC مختلفة في طبعات مختلفة داخل نفس الشبكة الفرعية. كما يمكنك استخدامه كنقطة نهاية مختلفة لاستضافة خدمات مختلفة.

  • IPs العامة

    تحدد خدمات الشبكات عنوان IPv4 عمومي تختاره Oracle يتم تخطيطه إلى IP خاص.

    • Ephemeral: هذا العنوان مؤقت وموجود طوال عمر الطبعة.
    • محجوز: يستمر هذا العنوان بعد عمر الطبعة. يمكن إلغاء تعيينه وإعادة تعيينه لطبعة أخرى.
  • فحص المصدر والوجهة

    يقوم كل VNIC بإجراء فحص المصدر والوجهة لحركة مرور الشبكة الخاصة به. يؤدي تعطيل هذه العلامة إلى تمكين CGNS من معالجة حركة مرور الشبكة غير المستهدفة لجدار الحماية.

  • الشكل الحاسوبي

    يحدد شكل طبعة الحساب عدد وحدات المعالجة المركزية وكمية الذاكرة المخصصة للطبعة. يحدد شكل الحوسبة أيضًا عدد وحدات VNIC والحد الأقصى لعرض النطاق الترددي المتاح لطبعة الحوسبة.

التوصيات

استخدم التوصيات التالية كنقطة بداية لتأمين أحمال عمل Oracle E-Business Suite أو PeopleSoft على Oracle Cloud Infrastructureباستخدام جدار حماية Palo Alto Networks VM - eries. قد تختلف متطلباتك عن البنية الموضحة هنا.
  • VCN

    عند تكوين VCN، حدد عدد كتل CIDR المطلوبة وحجم كل قطعة على أساس عدد الموارد التي تخطط لإرفاقها بالشبكات الفرعية في VCN. استخدم كتل CIDR الموجودة داخل مساحة عنوان IP الخاصة القياسية.

    حدد كتل CIDR التي لا تتداخل مع أي شبكة أخرى (في Oracle Cloud Infrastructure أو مركز البيانات المحلي أو موفر سحابة آخر) تنوي إعداد اتصالات خاصة بها.

    بعد تكوين VCN، يمكنك تغيير كتل CIDR الخاصة بها وإضافتها وإزالتها.

    عند تصميم الشبكات الفرعية، ضع في اعتبارك تدفق المرور ومتطلبات الأمان. إرفاق كل الموارد الموجودة داخل طبقة أو دور محدد بنفس الشبكة الفرعية، والتي يمكن أن تكون بمثابة حد أمان.

    استخدام الشبكات الفرعية الإقليمية.

    تحقق من الحد الأقصى لعدد وحدات LPG لكل VCN في حدود الخدمة، في حالة الرغبة في توسيع هذه البنية لتشمل بيئات وتطبيقات متعددة.

  • جدار الحماية VM - eries لشبكات بالو ألتو
    • نشر مجموعة إتاحة عالية.
    • كلما أمكن، يتم النشر في نطاقات خطأ مميزة بحد أدنى أو في نطاقات إتاحة مختلفة.
    • تأكد من تعيين MTU على 9000 في كل وحدات VNIC.
    • استخدام واجهات VFIO.
  • إدارة أمان جدار الحماية لـ Palo Alto Networks VM - eries
    • إذا كنت تقوم بتكوين توزيع مستضاف في Oracle Cloud Infrastructure، فقم بتكوين شبكة فرعية مخصصة للإدارة.
    • استخدم قوائم الأمان أو مجموعات التأمين الوطنية لتقييد الوصول للداخل إلى المنافذ 443 و22 التي تم الحصول عليها من الإنترنت لإدارة سياسة التأمين ولعرض السجلات والأحداث.
  • أنظمة جدار الحماية من طراز Palo Alto Networks VM - eries

    ارجع إلى وثائق جدار الحماية في قسم استكشاف المزيد للتعرف على أحدث المعلومات حول أنظمة التأمين والموانئ والبروتوكولات المطلوبة.

الاعتبارات

عند تأمين أحمال عمل Oracle E-Business Suite أو PeopleSoft على Oracle Cloud Infrastructureباستخدام جدار الحماية VM - eries Palo Alto Networks، ضع في اعتبارك ما يلي:

  • الأداء
    • يؤدي تحديد حجم الطبعة الصحيح، الذي يتم تحديده بواسطة شكل الحوسبة، إلى تحديد الحد الأقصى للإنتاجية المتاحة ووحدة المعالجة المركزية وإدارة السجلات والمحفوظات وعدد الواجهات.
    • تحتاج التنظيمات إلى معرفة أنواع حركة المرور التي تجتاز البيئة، وتحديد مستويات المخاطرة المناسبة، وتطبيق ضوابط الأمان المناسبة حسب الحاجة. تؤثر التوليفات المختلفة لعناصر تحكم الأمان الفعالة على الأداء.
    • فكر في إضافة واجهات مخصصة لخدمات FastConnect أو VPN.
    • فكر في استخدام أشكال الحوسبة الكبيرة لتحقيق إنتاجية أعلى والوصول إلى المزيد من واجهات الشبكة.
    • يمكنك تشغيل اختبارات الأداء للتحقق من التصميم الحفاظ على الأداء والإنتاجية المطلوبين.
  • التأمين
    • يتيح نشر جدار الحماية VM - eries لـ Palo Alto Networks في Oracle Cloud Infrastructure إمكانية تكوين نظام أمان مركزي ومراقبة كل طبعات Palo Alto Networks VM - eries المادية والافتراضية.
    • تعريف مجموعة ديناميكية متميزة لإدارة الهوية والوصول (IAM) أو نظام لكل توزيع مجموعة.
  • الإتاحة
    • نشر بنيتك في مناطق جغرافية متميزة لأكبر تكرار.
    • تكوين شبكات VPN موقعية مع الشبكات التنظيمية ذات الصلة للتواصل الزائد مع الشبكات المحلية.
  • التكلفة
    • يتوفر جدار الحماية طراز Palo Alto Networks VM - eries في نماذج الترخيص من طراز Bring - you - own - license (BYOL) ومن نوع Pay - on - first - all - work في المجموعة 1 والمجموعة 2 في سوق Oracle Cloud.
      • وتشمل المجموعة 1 رخصة القدرة من طراز VM - Series، ورخصة الوقاية من التهديدات، واستحقاق دعم الأقساط.
      • تشتمل المجموعة 2 على ترخيص قدرة VM - eries بمجموعة كاملة من التراخيص التي تتضمن منع التهديد، وWildFire، وترشيح عنوان URL، وتأمين DNS، وGlobalProtect، واستحقاق دعم العلاوة.

توزيع

تتوفر التعليمات البرمجية لتأمين أحمال عمل Oracle E - Business Suite أو PeopleSoft على Oracle Cloud Infrastructure باستخدام Palo Alto Networks VM - eries Firewall كتمكدس في Oracle Cloud Marketplace.يمكنك أيضًا تنزيل التعليمة البرمجية من GitHub وتخصيصها لتتناسب مع متطلبات العمل الخاصة بك.
يوصي Oracle بتوزيع البنية من Oracle Cloud Marketplace.

استكشاف المزيد

تعرف على المزيد حول ميزات هذه البنية والموارد المرتبطة.