Stellen Sie eine skalierbare VPN-Architektur für den Remotezugriff bereit, indem Sie Cisco ASAv auf Oracle Cloud Infrastructure verwenden

Virtuelle Firewalls erweitern die branchenführende On-Premise-Sicherheit von Cisco nahtlos in die Cloud. Ideal für Remote-Mitarbeiter und Mehrmandantenumgebungen. Cisco ASAv stellt Oracle Cloud Infrastructure (OCI) eine skalierbare VPN-Lösung mit mehreren Funktionsoptionen bereit, wie Remotezugriff, Site-to-Site, Client weniger und so weiter.

Architektur

Diese Referenzarchitektur zeigt, wie Organisationen eine skalierbare VPN-Architektur für den Remote-Zugriff auf Oracle-Anwendungen, wie Oracle E-Business Suite und PeopleSoft, oder Anwendungen bereitstellen können, die in OCI mit Cisco ASA Virtual Firewall mit einem flexiblen Netzwerk-Load Balancer bereitgestellt werden.

Für den Zugriff auf diese Anwendungen empfiehlt Cisco, das Netzwerk über einen Hub und eine Spoke-Topologie zu segmentieren, wobei der Traffic über einen Transit-Hub (Outside/Inside VCN) geleitet und mit mehreren eindeutigen Netzwerken (Spreichen) verbunden wird. Stellen Sie sicher, dass Sie mehrere virtuelle ASA-Firewall zwischen flexiblen Netzwerk-Load Balancern bereitgestellt haben. Der gesamte Datenverkehr zwischen Spokes wird über das externe/interne VCN mit der virtuellen Cisco ASA-Firewall geleitet.

Stellen Sie jede Ebene Ihrer Anwendung in einem eigenen virtuellen Cloud-Netzwerk (VCN) bereit, das als Spoke fungiert. Das Hub-VCN/Mgmt-VCN enthält zwei Cisco ASAv-Firewall hinter dem Network Load Balancer.

Das innere VCN stellt über LPGs/DRG eine Verbindung zu den Spoke-VCNs her. Der gesamte Spoke-Traffic verwendet Routentabellenregeln, um Traffic durch die LPGs/DRG an das innere VCN weiterzuleiten, um sicherzustellen, dass Traffic an VPN-Endbenutzer zurückkehrt.

Sie können ASAv mit ASDM oder CLI verwalten und überwachen. Weitere Verwaltungsoptionen wie Cisco Defense Orchestrator (CDO) sind verfügbar. Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung ravpn_arch_cisco_asa_vfirewall.png

ravpn_arch_cisco_asa_vfirewall-oracle.zip

Die Architektur hat folgende Komponenten:

• Virtuelle Cisco ASA-Firewall

  Cisco Adaptive Security Virtual Appliance (ASAv) bringt volle Firewallfunktionen in virtualisierte Umgebungen, um Data Center-Datenverkehr und Mehrmandantenumgebungen zu sichern und öffentliche und private Clouds konsistent zu schützen.

• Region

  Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center, die sogenannten Availability-Domains, enthält. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (auf Ländern oder sogar Kontinenten).

• Availability-Domain

  Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was Fehlertoleranz bietet. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung, Kühlung oder das interne Availability-Domainnetzwerk. Daher ist es wahrscheinlich, dass sich ein Fehler in einer Availability-Domain auf die anderen Availability-Domains in der Region auswirkt.

• Faultdomain

  Eine Faultdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain umfasst drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen auf mehrere Faultdomains verteilen, können Ihre Anwendungen damit den physischen Serverausfall, die Systemwartung und Stromausfälle innerhalb einer Faultdomain tolerieren.

• Virtuelles Cloud-Netzwerk (VCN) und Subnetz

  Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer OCI-Region einrichten. Wie bei traditionellen Data Center-Netzwerken erhalten Sie mit VCNs die vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die einer Region oder einer Availability-Domain zugeordnet werden können. Jedes Subnetz besteht aus einem fortlaufenden Adressbereich, der sich mit den anderen Subnetzen im VCN nicht überschneidet. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

• Management-VCN

  Das Mgmt-VCN ist ein zentralisiertes Netzwerk, in dem Cisco ASA Virtual Firewall bereitgestellt wird. Sie bietet eine sichere Verbindung zu internen VCN/allen Spoke-VCNs, OCI-Services, öffentlichen Endpunkten und Clients sowie On-Premise-Data-Center-Netzwerken.

• Außerhalb des VCN

  Das externe VCN enthält ein öffentliches Subnetz zum Hosten des flexiblen Netzwerk-Load Balancers, mit dem Endbenutzer eine Verbindung als VPN-Headend herstellen. Jede virtuelle Cisco ASA-Firewall verfügt ebenfalls über eine Schnittstelle im Subnetz dieses VCN.

• Innerhalb des VCN

  Das innere VCN enthält ein privates Subnetz, mit dem Endbenutzer eine Verbindung zu einer Anwendung herstellen können, die in diesem VCN ausgeführt wird, oder über eine Route zu Spoke-VCNs über dieses VCN. Jede virtuelle Cisco ASA-Firewall verfügt ebenfalls über eine Schnittstelle im Subnetz dieses VCN.

• Spoke-VCNs

  Das Spoke-VCN der Anwendungs-/Datenbankebene enthält ein privates Subnetz für das Hosting von Oracle-Datenbanken/Anwendungen.

• Flexibler Network Load Balancer

  Der OCI Flexible Network Load Balancer bietet automatisierte Trafficverteilung von einem Einstiegspunkt auf mehrere Backend-Server in Ihren virtuellen Cloud-Netzwerken. Er wird auf Verbindungsebene betrieben und Load Balancer eingehende Clientverbindungen zu fehlerfreien Backend-Servern basierend auf den Daten Layer3/Layer4 (IP-Protokoll).

• Sicherheitsliste

  Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Traffictyp angeben, der in das und aus dem Subnetz zugelassen werden muss.

• Routentabelle

  Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen an Ziele außerhalb eines VCN weitergeleitet wird, im Allgemeinen über Gateways.

  • Im Management-VCN sind die folgenden Routentabellen zugeordnet: Managementroutentabelle mit dem Managementsubnetz, bei dem eine Standardroute mit dem Internetgateway verbunden ist.
  • Im externen VCN befinden sich die folgenden Routentabellen: Externe Routentabelle, die an das externe Subnetz oder das Standard-VCN angehängt ist, um Traffic vom externen VCN an das Internet oder On-Premise-Ziele weiterzuleiten.
  • Im inneren VCN befinden sich die folgenden Routentabellen: Jedes mit Firewall verknüpfte VPN-Pool-CIDR wird über diese Routentabelle an die interne Schnittstelle übertragen

  Hinweis:

  Sie können auch Management/Inside/Outside Subnet als Teil eines einzelnen VCN bereitstellen und Traffic entsprechend weiterleiten.
• Internetgateway

  Das Internetgateway ermöglicht den Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.

• NAT-Gateway

  Das NAT-Gateway ermöglicht privaten Ressourcen in einem VCN den Zugriff auf Hosts im Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.

• Dynamisches Routinggateway (DRG)

  Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, wie ein VCN in einer anderen OCI-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloud-Provider.

• Servicegateway

  Das Servicegateway ermöglicht den Zugriff von einem VCN auf andere Services, wie OCI Object Storage. Der Traffic vom VCN zu dem Oracle-Service durchläuft das Oracle-Fabric, ohne jemals über das Internet geleitet zu werden.

• Virtual Network Interface Card (VNIC)

  Die Services in OCI-Data Centern weisen physische Netzwerkkarten (NICs) auf. VM-Instanzen kommunizieren über virtuelle NICs (VNICs), die mit den physischen NICs verknüpft sind. Jede Instanz verfügt über eine primäre VNIC, die beim Start automatisch erstellt und zugeordnet wird und während der Gültigkeitsdauer der Instanz verfügbar ist. DHCP wird nur der primären VNIC angeboten. Sie können sekundäre VNICs nach dem Instanzstart hinzufügen. Legen Sie statische IPs für jede Schnittstelle fest.

• Private IPs

  Eine private IPv4-Adresse und zugehörige Informationen zur Adressierung einer Instanz. Jede VNIC verfügt über eine primäre private IP, und Sie können sekundäre private IPs hinzufügen und entfernen. Die primäre private IP-Adresse in einer Instanz wird beim Instanzstart angehängt und ändert sich während der Gültigkeitsdauer der Instanz nicht.

• Öffentliche IPs

  Die Netzwerkservices definieren eine von Oracle gewählte öffentliche IPv4-Adresse, die einer privaten IP zugeordnet ist. Öffentliche IPs haben die folgenden Typen: Ephemer: Diese Adresse ist temporär und existiert während der Lebensdauer der Instanz. Reserviert: Diese Adresse bleibt über die Lebensdauer der Instanz hinaus erhalten. Sie können ihre Zuweisung aufheben und sie einer anderen Instanz zuweisen.

• Quell- und Zielprüfung

  Jede VNIC führt die Quell- und Zielprüfung für den Netzverkehr durch. Wenn dieses Flag deaktiviert wird, kann Cisco ASA Virtual Firewall den Netzwerkverkehr verarbeiten, der nicht für die Firewall vorgesehen ist.

• Rechenleistungseinheit

  Die Ausprägung einer Compute-Instanz gibt die Anzahl der CPUs und den Speicherplatz an, die der Instanz zugewiesen werden. Die Compute-Ausprägung bestimmt auch die Anzahl der VNICs und die maximale Bandbreite, die für die Compute-Instanz verfügbar ist.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt für die Skalierbarkeit des Deployments der Remote Access VPN-Architektur mit der virtuellen Cisco ASA-Firewall. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.

• VCN
  • Legen Sie beim Erstellen eines VCN die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen fest, die Sie den Subnetzen im VCN zuordnen möchten. Verwenden Sie CIDR-Blöcke, die sich im privaten Standard-IP-Adressraum befinden.
  • Wählen Sie CIDR-Blöcke aus, die sich nicht mit anderen Netzwerken (in OCI, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, für die Sie private Verbindungen einrichten möchten.
  • Nachdem Sie ein VCN erstellt haben, können Sie dessen CIDR-Blöcke ändern, hinzufügen und entfernen.
  • Berücksichtigen Sie beim Entwerfen der Subnetze den Trafficfluss und die Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Tier oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze verwendet werden kann.
  • Regionale Subnetze verwenden
• Virtuelle Cisco ASA-Firewall
  • Diese Architektur verfügt über eigenständige Firewallinstanzen. Bei einem Firewallfehler muss sich der Endbenutzer erneut authentifizieren.
  • Wenn möglich stellen Sie Anwendungen in unterschiedlichen Faultdomains mindestens bis zu verschiedenen Availability-Domains bereit.
• Cisco ASA Virtual Firewall Management
  • Wenn Sie ein in Oracle Cloud Infrastructure gehostetes Deployment erstellen, erstellen Sie ein dediziertes Subnetz für die Verwaltung.
  • Verwenden Sie Sicherheitslisten oder NSGs, um den eingehenden Zugriff auf die Ports 443 und 22 einzuschränken, die aus dem Internet für die Administration der Sicherheits-Policy stammen, und um Logs und Ereignisse anzuzeigen.

Hinweise

Beim Deployment der VPN-Architektur für den Remotezugriff für den Zugriff auf Oracle E-Business Suite- oder PeopleSoft-Workloads auf OCI mit Cisco ASA Virtual Firewall berücksichtigen Sie die folgenden Faktoren:

• Performance
  • Durch Auswahl der richtigen Instanzgröße, die von der Compute-Ausprägungen bestimmt wird, werden der maximal verfügbare Durchsatz, die CPU, der RAM und die Anzahl der Schnittstellen bestimmt.
  • Organisationen müssen wissen, welche Arten von Datenverkehr die Umgebung durchläuft, die entsprechenden Risikostufen bestimmen und gegebenenfalls die richtigen Sicherheitskontrollen anwenden. Unterschiedliche Kombinationen aktivierter Sicherheitskontrollen wirken sich auf die Performance aus.
  • Sie sollten dedizierte Schnittstellen für FastConnect- oder VPN-Services hinzufügen.
  • Sie sollten große Compute-Ausprägungen für höheren Durchsatz und besseren Zugriff auf Netzwerkschnittstellen verwenden.
  • Führen Sie Performancetests aus, um zu validieren, dass das Design die erforderliche Performance und den erforderlichen Durchsatz aufweisen kann.
  • Verwenden Sie die folgenden Metriken als Richtlinie:

    OCI-Leistungsspezifikationen für 9.16 und höher.

    Lizenztyp	100 Mio. (ASAv5)	1 GB (ASAv10)	2 GB (ASAv30)	10 GB (ASAv50)	20 GB (ASAv100)
    OCI-Ausprägungstyp	VM.Standard2.4	VM.Standard2.4	VM.Standard2.4	VM.Standard2.8	VM.Standard2.8
    Durchsatz bei zustandsbehafteter Prüfung	100 Mbps	1 GBit/s	2 GBit/s	In Kürze verfügbar	In Kürze verfügbar
    Zustandsbehafteter Inspektionsdurchsatz (Multiprotocol)	100 Mbps	1 Gbit/s	2 GBit/s	2.3 GBit/s	3 GBit/s
    IPsec-VPN-Durchsatz (AES 450B UDP-Test)	100 Mbps	550 Mbps	550 Mbps	550 Mbps	620 Mbps
    Verbindungen pro Sekunde	12.500	26.600	26.600	26.600	38.200
    Gleichzeitige Sessions	50.000	100.000	500.000	2.000.000	4.000.000
    IPSEC-VPN-Peers	50	250	750	10.000	20.000
    Cisco AnyConnect- oder Clientless-VPN-Benutzersessions	50	250	750	10.000	20.000

• Sicherheit

  Die Bereitstellung von Cisco ASA Virtual Firewall in OCI ermöglicht vollständige Firewallservices, um Data Center-Datenverkehr und Remote-Worker zu sichern.

• Verfügbarkeit
  • Stellen Sie Ihre Architektur für höchste Redundanz in unterschiedlichen geografischen Regionen bereit.
  • Konfigurieren Sie Site-to-Site-VPNs mit relevanten Organisationsnetzwerken für redundante Konnektivität mit On-Premise-Netzwerken.
• Kostenfaktor
  • Cisco ASA Virtual Firewall ist in "Bring-Your-Own-License" (BYOL) verfügbar
  • Weitere Informationen zur Verwaltung von Lizenzen finden Sie unter dem Datenblatt "Cisco Adaptive Security Virtual Appliance (ASAv)" und "Smart Licensing for ASAv", auf das im Thema "Explorer More" unten verwiesen wird.

Bereitstellen

Um eine VPN-Architektur für Remote-Zugriff auf Oracle Cloud Infrastructure mit der virtuellen Cisco ASA-Firewall bereitzustellen, gehen Sie wie folgt vor:

Oracle empfiehlt das Deployment der Architektur aus Oracle Cloud Marketplace.

• Stellen Sie Anwendungen mit dem Stack in Oracle Cloud Marketplace bereit:
  1. Stellen Sie Anwendungen mit dem Stack in Oracle Cloud Marketplace bereit: Richten Sie die erforderliche Netzwerkinfrastruktur ein, wie im Architekturdiagramm dargestellt. Siehe dieses Beispiel: Richten Sie eine Hub-and-Spoke-Netzwerktopologie ein.
  2. Stellen Sie die Anwendung (Oracle E-Business Suite, PeopleSoft oder Beabsichtigte Anwendungen) in Ihrer Umgebung bereit.
  3. Oracle Cloud Marketplace bietet mehrere Angebote für verschiedene Konfigurationen und Lizenzierungsanforderungen. Mit der folgenden Funktion für Angebote können Sie beispielsweise Ihre eigene Lizenzierung (BYOL) verwenden. Klicken Sie für jedes ausgewählte Angebot auf "Get App", und folgen Sie den Prompts auf dem Bildschirm:
     • Virtuelle Cisco ASA-Firewall
     • Cisco Marketplace-Angebote
• Stellen Sie Anwendungen mit dem Terraform-Code in GitHub bereit:
  1. Gehen Sie zu GitHub.
  2. Klonen Sie das Repository, oder laden Sie es auf Ihren lokalen Rechner herunter.
  3. Befolgen Sie die Anweisungen im Dokument README.

Mehr anzeigen

Erfahren Sie mehr über die Features dieser Architektur und zugehörige Ressourcen.

Weitere Informationen zu Oracle Cloud Infrastructure finden Sie in den folgenden zusätzlichen Ressourcen:

• Best Practice-Framework für Oracle Cloud Infrastructure
• Oracle Cloud Infrastructure - Sicherheitsdokumentation
• Erfahren Sie mehr über das Deployment von Oracle E-Business Suite auf Oracle Cloud Infrastructure
• Erfahren Sie mehr über das Deployment von PeopleSoft auf Oracle Cloud Infrastructure
• Informationen zum Deployment eines Felxible Network Load Balancers

Sehen Sie sich diese zusätzlichen Ressourcen an, um mehr über Cisco zu erfahren:

• Cisco ASAv auf Oracle Cloud Infrastructure Guide
• Entdecken Sie Cisco Secure Firewall-Ressourcen für die Cloud
• Blog: ASAv von Cisco von OCI Marketplace bereitstellen
• Blog: Konfigurieren Sie das Remote Access VPN mit lokaler Authentifizierung auf ASAv

Danksagungen

• Autor: Arun Poonia