1. Entwerfen Sie die CloudGuard-Netzwerksicherheit für Oracle Cloud Infrastructure, und sichern Sie Ihre Workloads
  2. Entwerfen Sie die CloudGuard-Netzwerksicherheit für Oracle Cloud Infrastructure, und sichern Sie Ihre Workloads

Entwerfen Sie die CloudGuard-Netzwerksicherheit für Oracle Cloud Infrastructure und sichern Sie Ihre Workloads

Verschieben oder erweitern Sie alle Anwendungs-Workloads, wie Oracle E-Business Suite oder PeopleSoft, in der Cloud mit dem Check Point CloudGuard Network Security, um native Sicherheitsoptionen zu erweitern, ohne dass wesentliche Änderungen an Konfiguration, Integration oder Geschäftsprozessen erforderlich sind.

Die Sicherheit in der Cloud basiert auf einem Modell für gemeinsame Verantwortung. Oracle ist für die Sicherheit der zugrunde liegenden Infrastruktur verantwortlich, wie Rechenzentrumsfunktionen, Hardware und Software zur Verwaltung von Cloud-Vorgängen und -Services. Kunden sind dafür verantwortlich, ihre Workloads zu sichern und ihre Services und Anwendungen sicher zu konfigurieren, um ihre Complianceanforderungen zu erfüllen.

Oracle Cloud Infrastructure (OCI) bietet erstklassige Sicherheitstechnologie und betriebliche Prozesse, um die Enterprise Cloud Services zu sichern. Der Check Point CloudGuard Network Security für OCI bietet erweiterte, mehrschichtige Sicherheit, um Anwendungen vor Angriffen zu schützen und gleichzeitig eine sichere Verbindung zu Unternehmens- und Hybrid-Cloud-Netzwerken zu ermöglichen. Zusammen schützen sie Anwendungen in On-Premise-Data Centern und Cloud-Umgebungen, um skalierbare Performance zu bieten und fortschrittliche Sicherheitsorchestrierung und einen einheitlichen Bedrohungsschutz zu gewährleisten.

Die Sicherheitskontrollen umfassen die folgenden Features:
  • Zugriffskontrollen (Firewall)
  • Logging
  • Anwendungssteuerung
  • URL-Filter
  • Intrusion Prevention (IPS)
  • Erweiterte Bedrohungsprävention (Antibot, SandBlast Zero-Day-Schutz)
  • Virtual Private Network (VPN) von Standort zu Standort für die Kommunikation mit dem On-Premise-Netzwerk
  • Remote-Zugriff VPN für die Kommunikation mit Roamingbenutzern
  • Network Address Translation für internetgebundenen Datenverkehr

Architektur

Diese Referenzarchitektur veranschaulicht, wie Unternehmen Oracle-Anwendungen schützen können, wie Oracle E-Business Suite, PeopleSoft und andere Anwendungen, die in OCI bereitgestellt werden, mit der Netzwerksicherheit des Checkpoints CloudGuard und dem flexiblen Netzwerk-Load Balancer.

Um diese Verkehrswerte zu schützen, empfiehlt Check Point, das Netzwerk mit einem Nord- und Südnaben- und Spoke-Design zu segmentieren:
  • Die Nabe schützt öffentlich zugängliche Ressourcen vor böswilligem eingehenden Verkehr. Der Nördliche Hub verwendet den flexiblen Oracle-Netzwerk-Load Balancer, mit dem Organisationen ein skalierbares Set von CloudGuard-Netzwerksicherheitsgateways erstellen können, das entsprechend den Durchsatzanforderungen skaliert werden kann.
  • Der südliche Hub schützt Datenverkehr zwischen Speichen, Datenverkehr im Internet, Datenverkehr zum Oracle Services Network und Datenverkehr zu oder von On-Premise-Netzwerken. Wir stellen fest, dass der südliche Hub ein hochverfügbares Cluster mit CloudGuard Netzwerksicherheitsgateways enthält, sodass zustandsbehaftetes Failover für den Verkehr erfolgen kann, der auf Unterbrechungen angewiesen ist.
  • Stellen Sie jede Ebene Ihrer Anwendung in einem eigenen virtuellen Cloud-Netzwerk (VCN) bereit, das als Spoke fungiert. Diese Trennung ermöglicht eine granulare Kontrolle des Datenverkehrs zwischen Speichen.
  • Das Nord-Hub-VCN verbindet eingehenden Traffic vom Internet mit den verschiedenen Spoke-VCNs über flexiblen Netzwerk-Load Balancer und dynamisches Routinggateway (DRG).
  • Das südliche Hub-VCN stellt über das DRG eine Verbindung zu den Spoke-VCNs her. Der gesamte ausgehende Datenverkehr und der Datenverkehr zwischen Spokes verwendet Routentabellenregeln, um den Datenverkehr über das DRG zum südlichen Hub zu leiten, um vom Netzwerksicherheitscluster CloudGuard zu prüfen.
  • Mit einer der folgenden Methoden können Sie die Umgebung verwalten:
    • Verwalten Sie die Umgebung zentral mit einem Check Point Security-Managementserver oder einem Multidomain-Managementserver, der entweder in seinem eigenen Subnetz im Nord-Hub-VCN oder als bereits vorhandenes Kunden-Deployment bereitgestellt wird, auf das die Sicherheitsgateways zugreifen können.
    • Verwalten Sie die Umgebung zentral vom Check Point Smart-1 Cloud Management-as-a-Service.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung von cloudguard-net-sec-arch.png folgt
Beschreibung der Abbildung cloudguard-net-sec-arch.png

Stellen Sie für jedes Verkehrsflussszenario sicher, dass die Network Address Translation (NAT) und Sicherheits-Policys auf den Netzwerksicherheitsgateways CloudGuard konfiguriert sind. Der aktuell unterstützte Anwendungsfall für den flexiblen Netzwerk-Load Balancer erfordert, dass Sie die Quell-NAT auf den Firewalls aktivieren, aus denen der Datenverkehr beendet wird.

Eingehender Nord-Süd-Trafficfluss durch das Nord-Hub-VCN

Das folgende Diagramm zeigt, wie der Nord-Süd-Eingehende Datenverkehr über das Internet auf die Webanwendungsebene zugreift:

Beschreibung von inbound-no-hub-vcn.png folgt
Beschreibung der Abbildung inbound-no-hub-vcn.png

Ausgehender Nord-Süd-Trafficfluss durch das südliche Hub-VCN

Das folgende Diagramm zeigt, wie ausgehende Verbindungen von der Webanwendung und den Datenbankebenen zum Internet Softwareupdates und den Zugriff auf externe Webservices bereitstellen:

Beschreibung von outbound-so-hub-vcn.png folgt
Beschreibung der Abbildung outbound-so-hub-vcn.png

Ostwestlicher Verkehrsfluss (Web zur Datenbank) durch das südliche Hub-VCN

Das folgende Diagramm zeigt, wie sich Datenverkehr von der Webanwendung zur Datenbankebene bewegt:

Beschreibung von e-w-w2db-so-hub.png folgt
Beschreibung der Abbildung e-w-w2db-so-hub.png

Ostwestlicher Verkehrsfluss (Datenbank zu Web) durch das südliche Hub-VCN

Das folgende Diagramm zeigt, wie sich Traffic von der Datenbankebene zur Webanwendung verschiebt:

Beschreibung von e-w-db2w-so-hub.png folgt
Beschreibung der Abbildung e-w-db2w-so-hub.png

Ostwestlicher Verkehrsfluss (Webanwendung zu Oracle Services Network) über das südliche Hub-VCN

Das folgende Diagramm zeigt, wie sich Datenverkehr von der Webanwendung zum Oracle Services Network verschiebt:

Beschreibung von e-w-w2osn-so.png folgt
Beschreibung der Abbildung e-w-w2osn-so.png

Ostwestlicher Verkehrsfluss (Oracle Services Network zu Webanwendung) durch das südliche Hub-VCN

Das folgende Diagramm zeigt, wie sich Datenverkehr vom Oracle Services Network zur Webanwendung verschiebt:

Beschreibung von e-w-osn2web-so.png folgt
Beschreibung der Abbildung e-w-osn2web-so.png

Die Architektur umfasst folgende Komponenten:
  • Check Point CloudGuard Network Security-Gateways

    Bietet fortschrittliche Bedrohungsprävention und Cloud-Netzwerksicherheit für Hybrid-Clouds.

  • Check Point Security Management
    • Sicherheitsmanagementserver
    • Multidomainmanagement
    • Smart-1 Cloud Management-as-a-Service
  • Oracle E-Business Suite oder PeopleSoft Anwendungsebene

    Zusammengesetzt aus Oracle E-Business Suite- oder PeopleSoft-Anwendungsservern und -Dateisystem.

  • Oracle E-Business Suite oder PeopleSoft Datenbankebene

    Zusammengesetzt aus Oracle Database, jedoch nicht beschränkt auf Oracle Exadata Database Cloud-Service oder Oracle Database-Services.

  • Region

    Eine OCI-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center, sogenannte Availability-Domains, enthält. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie (über Länder oder sogar Kontinente) trennen.

  • Availability-Domain

    Availability-Domains sind eigenständige, unabhängige Data Center in einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was eine Fehlertoleranz bietet. Availability-Domains haben keine gemeinsame Infrastruktur, wie Stromversorgung oder Kühlung, oder das interne Availability-Domainnetzwerk. Daher ist es wahrscheinlich, dass sich ein Fehler in einer Availability-Domain auf die anderen Availability-Domains in der Region auswirkt.

  • Faultdomain

    Eine Fehlerdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain hat drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen auf mehrere Faultdomains verteilen, können Ihre Anwendungen physische Serverfehler, Systemwartung und Stromausfälle innerhalb einer Faultdomain tolerieren.

  • Virtuelles Cloud-Netzwerk (VCN) und Subnetz

    Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer OCI-Region einrichten. Wie bei herkömmlichen Data Center-Netzwerken erhalten VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere nicht überlappende CIDR-Blöcke haben, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die für eine Region oder eine Availability-Domain gelten können. Jedes Subnetz besteht aus einem fortlaufenden Adressbereich, der sich nicht mit den anderen Subnetzen im VCN überschneidet. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

  • North-Hub-VCN

    Das Nördliche Hub-VCN ist ein zentralisiertes Netzwerk, in dem Check Point CloudGuard Network Security-Gateways bereitgestellt werden. Er stellt eine sichere eingehende Verbindung zu allen Spoke-VCNs bereit.

  • South-Hub-VCN

    Das südliche Hub-VCN ist ein zentralisiertes Netzwerk, in dem Check Point CloudGuard Network Security Gateways in einem High Availability-Cluster bereitgestellt werden. Er bietet sichere Konnektivität mit allen Spoke-VCNs, OCI-Services, öffentlichen Endpunkten und Clients sowie On-Premise-Data Center-Netzwerken.

  • Application Tier Spoke-VCN

    Das Application Tier Spoke-VCN enthält ein privates Subnetz zum Hosten von Oracle E-Business Suite- oder PeopleSoft-Komponenten.

  • Datenbankebene sprach VCN

    Das Datenbank-Tier Spoke-VCN enthält ein privates Subnetz für das Hosting von Oracle-Datenbanken.

  • Load Balancer

    OCI Load Balancing Service ermöglicht die automatisierte Trafficverteilung von einem Single Entry Point zu mehreren Servern im Backend.

  • Flexibler Network Load Balancer

    Der flexible OCI-Netzwerk-Load Balancer stellt die automatische Trafficverteilung von einem Einstiegspunkt zu mehreren Backend-Servern in Ihren VCNs bereit. Sie wird auf Verbindungsebene ausgeführt, und Load Balancer führt eingehende Clientverbindungen zu fehlerfreien Backend-Servern auf Basis von Layer3- oder Layer4-(IP-Protokoll-)Daten aus.

  • Sicherheitsliste

    Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der im Subnetz und aus dem Subnetz zugelassen werden muss.

  • Routentabelle
    Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen an Ziele außerhalb eines VCN weitergeleitet wird, im Allgemeinen über Gateways. Im Nord-Hub-VCN sind folgende Routentabellen vorhanden:
    • Die mit dem Netzwerk-Load-Balancer-Subnetz verknüpfte Routentabelle, die über DRGs auf den CIDR-Block des On-Premise-Subnetzes verweist und eine Standardroute zur Verbindung mit dem Internetgateway aufweist.
    • Frontend-Routentabelle, die mit dem Frontend-Subnetz verknüpft ist, mit einer Standardroute, die mit dem Internetgateway verbunden ist, um Traffic vom Nördlichen Hub-VCN an das Internet oder On-Premise-Ziel weiterzuleiten.
    • Backend-Routentabelle, die an das Backend-Subnetz angehängt ist und über DRGs auf den CIDR-Block der Spoke-VCNs verweist.
    Im südlichen Hub-VCN haben Sie die folgenden Routentabellen:
    • Frontend-Routentabelle, die mit dem Frontend-Subnetz verknüpft ist und über eine Standardroute verfügt, die mit dem Internetgateway verbunden ist, um Traffic vom VCN des südlichen Hubs an das Internet oder On-Premise-Ziel weiterzuleiten.
    • Backend-Routentabelle, die an das Backend-Subnetz angehängt ist und über dynamische Routinggateways auf den CIDR-Block der Spoke-VCNs verweist.
    • Die South Hub-VCN-Ingress-Routentabelle ist an den Hub-VCN-Anhang angehängt, um jeden eingehenden Traffic von Spoke-VCNs über das dynamische Routinggateway an die sekundäre Floating-IP-Adresse der primären CloudGuard Network Security Gateway-Backend-Schnittstelle zu senden.
    • Für jeden Spoke, der über dynamische Routinggateways an den North Hub angeschlossen ist, wird eine eindeutige Routentabelle definiert und an ein verknüpftes Subnetz angehängt. Diese Routentabelle leitet den gesamten Traffic (0.0.0.0/0) vom verknüpften Spoke-VCN an dynamische Routinggateways über die sekundäre Floating-IP-Adresse der primären CloudGuard Network Security Gateway-Backend-Schnittstelle weiter, oder Sie können ihn auch auf granularer Ebene definieren.
    • Routentabelle des Oracle-Servicegateways, die an das Oracle-Servicegateway für die Oracle Service Network-Kommunikation angehängt ist. Diese Route leitet den gesamten Traffic (0.0.0.0/0) an die sekundäre Floating-IP-Adresse der primären CloudGuard Network Security Gateway-Backend-Schnittstelle weiter.
    • Um die Verkehrssymmetrie aufrechtzuerhalten, werden auch Routen zu dem Netzwerksicherheitsgateway CloudGuard jedes Checkpoints hinzugefügt, um den CIDR-Block des Spoke-Traffics auf die Standardgateway-IP des Backend-Subnetzes (die Standardgateway-IP ist im Backend-Subnetz im South-Hub-VCN verfügbar) und den Standard-CIDR-Block (0.0.0.0/0) zu verweisen, der auf die Standardgateway-IP des Frontend-Subnetzes verweist.
    Im DRG sind folgende Routentabellen vorhanden:
    • Für jeden Spoke-VCN-Anhang ist eine DRG-Routentabelle verknüpft, um sicherzustellen, dass der Traffic zum VCN des südlichen Hubs gehört. Fügen Sie eine Routingregel hinzu, um sicherzustellen, dass der Traffic, der zum Backend-Subnetz des Nördlichen Hub-VCN bestimmt ist, dem gleichen Pfad entspricht, von dem der Traffic stammt.
    • Beim VCN-Anhang mit dem südlichen Hub stellt eine verknüpfte DRG-Routentabelle sicher, dass importierte Routen aus jedem an DRG angehängten VCNs Teil dieser Routentabelle sind.
  • Internetgateway

    Das Internetgateway ermöglicht Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.

  • NAT-Gateway

    Mit dem NAT-Gateway können private Ressourcen in einem VCN auf Hosts im Internet zugreifen, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.

  • Dynamisches Routinggateway (DRG)

    Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, wie z.B. ein VCN in einer anderen OCI-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloudprovider.

  • Servicegateway

    Das Servicegateway bietet Zugriff von einem VCN auf andere Services, wie OCI Object Storage. Der Traffic vom VCN zu dem Oracle-Service durchläuft das Oracle-Fabric und durchläuft nie das Internet.

  • FastConnect - OCI

    FastConnect bietet eine einfache Möglichkeit, eine dedizierte, private Verbindung zwischen Ihrem Data Center und OCI zu erstellen. FastConnect bietet im Vergleich zu internetbasierten Verbindungen eine höhere Bandbreite an Optionen und eine zuverlässigere Netzwerkerfahrung.

  • Virtual Network Interface Card (VNIC)

    Die Services in OCI-Data Centern weisen physische Netzwerkkarten (NICs) auf. VM-Instanzen kommunizieren über virtuelle NICs (VNICs), die mit den physischen NICs verknüpft sind. Jede Instanz verfügt über eine primäre VNIC, die beim Deployment automatisch erstellt und zugeordnet wird und während der Gültigkeitsdauer der Instanz verfügbar ist. DHCP wird nur der primären VNIC angeboten. Sie können nach dem Instanz-Deployment sekundäre VNICs hinzufügen. Legen Sie statische IPs für jede Schnittstelle fest.

  • Private IPs

    Eine private IPv4-Adresse und zugehörige Informationen zur Adressierung einer Instanz. Jede VNIC hat eine primäre private IP, und Sie können sekundäre private IPs hinzufügen und entfernen. Die primäre private IP-Adresse einer Instanz wird während des Instanz-Deployments angehängt und ändert sich während der Gültigkeitsdauer der Instanz nicht. Sekundäre IPs gehören ebenfalls zum gleichen CIDR des Subnetzes der VNIC. Die sekundäre IP wird als Floating-IP verwendet, da sie zwischen verschiedenen VNICs auf verschiedenen Instanzen im selben Subnetz verschoben werden kann. Sie können ihn auch als anderen Endpunkt verwenden, um verschiedene Services zu hosten.

  • Öffentliche IPs
    Die Netzwerkservices definieren eine von Oracle gewählte öffentliche IPv4-Adresse, die einer privaten IP zugeordnet ist. Öffentliche IPs weisen die folgenden Typen auf: Ephemeral:
    • Diese Adresse ist temporär und für die Lebensdauer der Instanz vorhanden.
    • Reserviert: Diese Adresse bleibt über die Lebensdauer der Instanz hinaus bestehen. Sie können die Zuweisung zu einer anderen Instanz aufheben und sie einer anderen Instanz zuweisen.
  • Quell- und Zielprüfung

    Jede VNIC führt die Quell- und Zielprüfung für den Netzwerktraffic durch. Durch die Deaktivierung dieses Flags kann das Netzwerksicherheitsgateway des Checkpoints CloudGuard Netzwerkverkehr verarbeiten, der nicht für die Firewall vorgesehen ist.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt für die Sicherung von Oracle E-Business Suite- oder PeopleSoft-Workloads oder Anwendungs-Workloads auf OCI mit dem Check Point CloudGuard Network Security Gateway. Ihre Anforderungen können sich von der hier beschriebenen Architektur unterscheiden.
  • VCN

    Bestimmen Sie beim Erstellen eines VCN die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich im standardmäßigen privaten IP-Adressbereich befinden.

    Wählen Sie CIDR-Blöcke, die sich nicht mit einem anderen Netzwerk überschneiden (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider), in dem Sie private Verbindungen einrichten möchten.

    Nachdem Sie ein VCN erstellt haben, können Sie die zugehörigen CIDR-Blöcke ändern, hinzufügen und entfernen.

    Berücksichtigen Sie beim Entwerfen der Subnetze den Verkehrsfluss und die Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Ebene oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.

    Verwenden Sie regionale Subnetze, und verwenden Sie das gesamte VCN-CIDR als Teil des Subnetz-CIDR, damit der gesamte Traffic von Spoke-VCNs geprüft wird.

  • Check Point CloudGuard Network Security
    • Stellen Sie ein Hochverfügbarkeitscluster im südlichen Hub bereit.
    • Stellen Sie ein skalierbares Set im Nord-Hub bereit.
    • Wenn möglich stellen Sie das Deployment in unterschiedlichen Faultdomains in mindestens einer anderen Availability-Domain bereit.
    • Stellen Sie sicher, dass die MTU auf allen VNICs auf 9000 gesetzt ist.
    • Verwenden Sie SRIOV- und VFIO-Schnittstellen (nur AMD-Ausprägungen).
    • Erstellen Sie eine zweite Hub-Spoke-Topologie in einer separaten Region für Disaster Recovery oder Georedundancy.
    • Schränken Sie den Traffic nicht über Sicherheitslisten oder Netzwerksicherheitsgateways (NSGs) ein, weil der gesamte Traffic vom Sicherheitsgateway gesichert wird.
    • Standardmäßig sind die Ports 443 und 22 auf dem Gateway geöffnet, und mehr Ports sind basierend auf Sicherheits-Policys geöffnet.
  • Check Point Security Management
    • Wenn Sie ein in OCI gehostetes Deployment erstellen, erstellen Sie ein dediziertes Subnetz für die Verwaltung.
    • Stellen Sie einen sekundären Managementserver (Verwaltungs-High Availability) in einer anderen Availability-Domain oder Region bereit.
    • Verwenden Sie Sicherheitslisten oder NSGs, um den eingehenden Zugriff auf die Ports 443, 22 und 19009 aus dem Internet zur Administration der Sicherheits-Policy einzuschränken und Logs und Ereignisse anzuzeigen.
    • Erstellen Sie entweder eine Sicherheitsliste oder eine NSG, die Ingress- und Egress-Traffic über den Sicherheitsverwaltungsserver an die Sicherheitsgateways zulässt.
  • Check Point-Sicherheitsrichtlinien

    Informationen zu den erforderlichen Ports und Protokollen finden Sie in der Anwendungsdokumentation im Abschnitt "Weitere Informationen"

Überlegungen

Berücksichtigen Sie beim Sichern von Oracle E-Business Suite- oder PeopleSoft-Workloads auf OCI mit dem Gateway für die Netzwerksicherheit von Check Point CloudGuard die folgenden Faktoren:

  • Performance
    • Durch Auswahl der richtigen Instanzgröße, die durch die Compute-Ausprägung bestimmt wird, wird der maximal verfügbare Durchsatz, die CPU, der RAM und die Anzahl der Schnittstellen bestimmt.
    • Unternehmen müssen wissen, welche Verkehrsarten die Umgebung durchlaufen, die entsprechenden Risikostufen bestimmen und bei Bedarf die richtigen Sicherheitskontrollen anwenden. Verschiedene Kombinationen aktivierter Sicherheitskontrollen wirken sich auf die Performance aus.
    • Sie sollten dedizierte Schnittstellen für FastConnect- oder VPN-Services hinzufügen. Sie sollten große Compute-Ausprägungen verwenden, um einen höheren Durchsatz und Zugriff auf mehr Netzwerkschnittstellen zu erhalten.
    • Führen Sie Performancetests zur Validierung des Designs aus, um die erforderliche Performance und den erforderlichen Durchsatz zu gewährleisten.
  • Sicherheit
    • Durch das Deployment von Check Point Security Management in OCI können alle physischen und virtuellen Check Point Security Gateway-Instanzen zentralisiert konfiguriert und überwacht werden.
    • Bei vorhandenen Check Point-Kunden wird auch die Migration von Sicherheitsmanagement zu OCI unterstützt.
    • Definieren Sie eine eindeutige dynamische Gruppe oder Policy für Identity and Access Management (IAM) pro Cluster-Deployment.
  • Verfügbarkeit
    • Stellen Sie Ihre Architektur für eine optimale Redundanz in unterschiedlichen geografischen Regionen bereit.
    • Konfigurieren Sie Site-to-Site-VPNs mit relevanten Organisationsnetzwerken für redundante Konnektivität mit On-Premise-Netzwerken.
  • Kostenfaktor
    • Check Point CloudGuard ist in den Lizenzmodellen "Bring-your-own-license" (BYOL) und "Pay As You Go" (PAYG) für Sicherheitsmanagement- und Sicherheitsgateways im Oracle Cloud Marketplace verfügbar.
    • Die Lizenzierung des Netzwerksicherheitsgateways basiert auf der Anzahl von vCPUs (eine OCPU entspricht zwei vCPUs).
    • Check Point BYOL-Lizenzen sind zwischen Instanzen portierbar. Beispiel: Wenn Sie Workloads aus anderen Public Clouds migrieren, die auch BYOL-Lizenzen verwenden, müssen Sie keine neuen Lizenzen von Check Point erwerben. Fragen Sie Ihren Check Point-Mitarbeiter, ob Sie Fragen haben oder Ihren Lizenzstatus prüfen müssen.
    • Die Check Point Security Management ist pro verwaltetem Sicherheitsgateway lizenziert. Beispiel: Zwei Cluster zählen zur Security Management-Lizenz zu vier.

Bereitstellen

Der Terraform-Code für <briefly describe Architecture> ist in Oracle Cloud Marketplace als Stack verfügbar.Sie können den Code auch aus GitHub herunterladen und an Ihre spezifischen Geschäftsanforderungen anpassen.
  • Mit dem Stack in Oracle Cloud Marketplace bereitstellen:
    1. Richten Sie die erforderliche Netzwerkinfrastruktur ein, wie im Architekturdiagramm dargestellt, auf die Sie als Beispiel verweisen können. Ausführliche Anweisungen finden Sie unter "Hub-and-Spoke-Netzwerktopologie einrichten".
    2. Stellen Sie die Anwendung (Oracle E-Business Suite oder PeopleSoft oder erforderliche Anwendungen) in Ihrer Umgebung bereit.
    3. Oracle Cloud Marketplace bietet mehrere Listen für verschiedene Konfigurationen und Lizenzanforderungen. Die folgenden Angebote enthalten beispielsweise Ihre eigene Lizenzierung (BYOL). Klicken Sie für jede gewählte Liste auf "App abrufen", und befolgen Sie die Prompts auf dem Bildschirm.
  • Mit dem Terraform-Code in GitHub bereitstellen:
    1. Gehen Sie zu GitHub.
    2. Klonen Sie das Repository, oder laden Sie es auf Ihren lokalen Computer herunter.
    3. Befolgen Sie die Anweisungen im Dokument README.

Mehr anzeigen

Erfahren Sie mehr über die Features dieser Architektur und zugehörige Ressourcen.