Nativ in Oracle Cloud integrieren - Next Generation Firewall (NGFW)

Es ist genau das, was die Fortinet-Firewall der nächsten Generation (NGFW) zu tun hat, um zu verhindern, dass nicht authentifizierte Benutzer Geräte remote abstürzen oder Code ausführen.

Die Sicherheitsstruktur von Fortinet umfasst sowohl Data Center als auch Clouds, um Unternehmen eine konsolidierte Ansicht ihrer Sicherheitslage zu bieten und eine einzige Konsole für Policy-Management, Governance-Reporting und Ereignisüberwachung bereitzustellen. Die zentrale Konsolenansicht umfasst physische, virtuelle und Cloud-Infrastrukturen, einschließlich private, öffentliche und Hybrid-Clouds. Diese Sicherheitsstruktur wurde vor Kurzem nativ in Oracle Cloud Infrastructure (OCI) integriert und bietet Unternehmen skalierbare Performance, erweiterte Sicherheitsorchestrierung und einheitlichen Schutz vor Bedrohungen für die Workloads, die auf OCI ausgeführt werden.

FortiGate NGFW bietet Unternehmen eine größere Anwendungskontrolle, Webfilterung, erweiterte Bedrohungserkennung, Virenschutz, Schutz vor Virenausbrüchen, Entwaffnung und Rekonstruktion von Inhalten sowie Anti-Botnet-Sicherheit. Sie können verschiedene Konfigurationen der virtuellen NGFW-Appliance FortiGate im Oracle Cloud Marketplace suchen und bereitstellen.

FortiGate-Deployments auf OCI bieten:

• Schutz des Nord-Süd-Netzwerkverkehrs bei gleichzeitiger Kontrolle, Prüfung und Sicherung von Datenverkehr außerhalb der virtuellen OCI-Cloud-Netzwerke (VCNs). Dieser Schutz deckt den Datenverkehr zwischen einem On-Premise-Netzwerk zum VCN sowie den Datenverkehr zwischen und aus dem Internet ab.
• Schutz des Ost-West-Netzwerkverkehrs bei gleichzeitiger Kontrolle, Prüfung und Sicherung des Datenverkehrs zwischen virtuellen OCI-Cloud-Netzwerken (VCNs).

Fortigate bietet eine tiefe Paketprüfung (DPI) oder Paket-Sniffing, um den Inhalt von Datenpaketen im Netzwerk zu untersuchen. Bei der normalen Paketprüfung wird nur der Paketheader untersucht. DPI umfasst die Prüfung nicht nur des Paketheaders, sondern auch der Daten, die das Paket mit sich bringt. Mit seiner DPI-Technologie fungiert FortiGate als Checkpoint für den Nord-Süd- oder Ostostenverkehr, um zu prüfen, ob die Pakete sicher passieren können.

Architektur

Sie können die FortiGate-Firewall der nächsten Generation (NGFW) in einer Aktiv-Aktiv-Konfiguration oder in einer Aktiv-Passiv-Konfiguration bereitstellen.

Beide Deployment-Optionen bieten High Availability-Schutz. Die wichtigsten Überlegungen bei der Auswahl einer Deployment-Option sind Skalierbarkeit, Resilienz und High Availability. Um vertikal zu skalieren, wählen Sie die Aktiv-Passiv-Konfiguration aus, und fügen Sie bei Bedarf weitere OCPUs und RAM hinzu. Um horizontal zu skalieren, wählen Sie die Active/Active-Konfiguration aus, und fügen Sie bei Bedarf weitere Instanzen hinzu.

In einer typischen Deployment-Architektur werden die FortiGate-Instanzen in einer "Load-Balancer-Sandwich"-Architektur bereitgestellt. Bei einer Active/Active-Konfiguration werden sie zwischen Load Balancern mit zwei Subnetzen "sandwichiert". Für eine Active-Passive-Architektur werden vier Ports empfohlen: öffentliche (Untrust), private (Trust), Taktüberwachungs- und Verwaltungsports. Ein virtuelles Hub-Cloud-Netzwerk (VCN) enthält den Load Balancer mit einem Paar von FortiGate-Instanzen. Die FortiGate-Instanzen verlaufen zwei Subnetze. Ein privates (Trust) und ein öffentliches (unvertraustes) Subnetz validieren den Ingress-Traffic zum privaten Netzwerk. Den FortiGate-Instanzen werden zwei Ports zugewiesen, einer in einem nicht vertrauenswürdigen öffentlichen Subnetz und einer in einem vertrauenswürdigen privaten Subnetz. Diese Anordnung bietet einen zentralen Netzwerk-Verkehrsanalysator im Hub der Netzwerkinfrastruktur. Für High Availability können Sie die FortiGate-Instanzen je nach ausgewählter Region in verschiedenen Availability-Domains oder Faultdomains bereitstellen. Sie können auch mehrere FortiGate-Cluster konfigurieren, um Multiregion-Konfigurationen zu ermöglichen.

Das folgende Diagramm zeigt eine Referenzarchitektur in einer einzelnen Region mit mehreren Availability-Domains.

Beschreibung der Abbildung fortinet-ngfw-oci-arch.png

Fortinet-ngfw-oci-arch-oracle.zip

Aus dem obigen Diagramm werden mehrere Anwendungsfälle dargestellt:

• Eingehender Datenverkehr (Nord-Süd) aus dem Internet: Eingehender Datenverkehr aus dem Internet gelangt über ein Internetgateway in das VCN. Nach dem Load Balancing wird der Traffic an ein Paar virtueller FortiGate-Instanzen übergeben. Die FortiGate-Instanzen prüfen den Traffic, und wenn der Traffic sicher und nicht böswillig ist, wird der Traffic an die Anwendung (Nord-Süd) übergeben.
• Eingehender Traffic (Nord-Süd) von On-Premise: On-Premise-Netzwerkverkehr verbindet sich mit Oracle Cloud Infrastructure FastConnect oder einem IPSec-Tunnel, der demselben Pfad folgt, die OCI-Region jedoch über ein dynamisches Routinggateway (DRG) eingibt. Dann geht der Traffic an den Load Balancer weiter, geht zur FortiGate-Instanz und dann zur Anwendung.
• Interner Traffic (Ostwest): Nachdem der Traffic die Spoke-VCNs verlässt, wird das DRG durchlaufen und in den Load Balancer im Hub-VCN eingegeben. Die Instanz FortiGate validiert den Traffic, bevor er intern weitergeleitet werden kann, und bestimmt, ob er mit einem Web-Frontend an eine gestaffelte Anwendung oder an eine Anwendung in einem anderen Spoke-VCN übergeben wird. FortiGate stellt in diesem Anwendungsfall die Trafficvalidierung von Subnetz zu Subnetz bereit.

FortiGate arbeitet mit nativen OCI-Sicherheitsservices zusammen, wie Sicherheitslisten und Netzwerksicherheitsgruppen (NSGs). FortiGate bietet Trafficfilterung durch Firewall-Policys und prüft den Datenverkehr auf bekannte und unbekannte Angriffe, wie IPS-, Antivirus- und Webfiltertechnologien. Sicherheitslisten und Netzwerksicherheitsgruppen (NSGs) ermöglichen oder stoppen Datenverkehr basierend auf Ports und Protokollen. Diese zusätzliche Sicherheitsebene bietet umfassenden Schutz für die OCI-Architektur.

Die Architektur umfasst die folgenden Komponenten:

• Mandant

  Ein Mandant ist eine sichere und isolierte Partition, die Oracle in Oracle Cloud einrichtet, wenn Sie sich für Oracle Cloud Infrastructure registrieren. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist synonym zu einem Unternehmen oder einer Organisation. In der Regel verfügt ein Unternehmen über einen einzelnen Mandanten und spiegelt dessen Organisationsstruktur in diesem Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.

• Region

  Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domains bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie voneinander trennen (über Länder oder sogar Kontinente).

• Compartment

  Compartments sind regionsübergreifende logische Partitionen in einem Oracle Cloud Infrastructure-Mandanten. Mit Compartments können Sie Ihre Ressourcen in Oracle Cloud organisieren, den Zugriff auf die Ressourcen kontrollieren und Nutzungsquoten festlegen. Um den Zugriff auf die Ressourcen in einem bestimmten Compartment zu kontrollieren, definieren Sie Policys, mit denen angegeben wird, wer auf die Ressourcen zugreifen kann und welche Aktionen sie ausführen können.

• Availability-Domain

  Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was Fehlertoleranz bietet. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung, Kühlung oder das interne Availability-Domainnetzwerk. Es ist daher unwahrscheinlich, dass der Ausfall einer Availability-Domain Auswirkungen auf die anderen Availability-Domains in der Region hat.

• Faultdomain

  Eine Faultdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain verfügt über drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen auf mehrere Faultdomains verteilen, können Ihre Anwendungen physische Serverausfälle, Systemwartungen und Stromausfälle innerhalb einer Faultdomain tolerieren.

• Virtuelles Cloud-Netzwerk (VCN) und Subnetze

  Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten. Wie herkömmliche Data-Center-Netzwerke erhalten Sie von VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die für eine Region oder eine Availability-Domain gelten können. Jedes Subnetz besteht aus einem zusammenhängenden Adressbereich, der sich nicht mit den anderen Subnetzen im VCN überschneidet. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

• Sicherheitsliste

  Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der in das und aus dem Subnetz zugelassen werden muss.

• Routentabelle

  Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen zu Zielen außerhalb eines VCN, normalerweise über Gateways, weitergeleitet wird.

• Internetgateway

  Das Internetgateway lässt Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet zu.

• FastConnect

  Mit Oracle Cloud Infrastructure FastConnect können Sie ganz einfach eine dedizierte, private Verbindung zwischen Ihrem Data Center und Oracle Cloud Infrastructure erstellen. FastConnect bietet Optionen mit höherer Bandbreite und eine zuverlässigere Netzwerkerfahrung im Vergleich zu internetbasierten Verbindungen.

• Dynamisches Routinggateway (DRG)

  Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen VCNs in derselben Region zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, wie einem VCN in einer anderen Oracle Cloud Infrastructure-Region, einem On-Premise-Netzwerk oder einem Netzwerk in einem anderen Cloud-Provider.

• Servicegateway

  Das Servicegateway ermöglicht den Zugriff von einem VCN auf andere Services wie Oracle Cloud Infrastructure Object Storage. Der Datenverkehr vom VCN zum Oracle-Service durchläuft die Oracle-Netzwerkfabric und nie das Internet.

• Load Balancer

  Der Oracle Cloud Infrastructure Load Balancing-Service bietet eine automatisierte Trafficverteilung von einem einzelnen Einstiegspunkt auf mehrere Server im Backend.

• Objektspeicher

  Object Storage bietet schnellen Zugriff auf große Mengen strukturierter und unstrukturierter Daten eines beliebigen Inhaltstyps, darunter Datenbankbackups, Analysedaten und umfangreiche Inhalte, wie Bilder und Videos. Sie können Daten sicher und geschützt speichern und dann direkt aus dem Internet oder aus der Cloud-Plattform abrufen. Sie können den Speicher nahtlos skalieren, ohne dass sich die Performance oder Servicezuverlässigkeit verschlechtert. Verwenden Sie Standardspeicher für "Hot"-Speicher, auf den Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie Archivspeicher für "kalten" Speicher, den Sie über lange Zeiträume aufbewahren und selten oder selten darauf zugreifen.

• Identity and Access Management (IAM)

  Oracle Cloud Infrastructure Identity and Access Management (IAM) ist die Zugriffskontrollebene für Oracle Cloud Infrastructure-(OCI-) und Oracle Cloud-Anwendungen. Mit der IAM-API und der Benutzeroberfläche können Sie Identitätsdomains und die Ressourcen innerhalb der Identitätsdomain verwalten. Jede OCI-IAM-Identitätsdomain stellt eine eigenständige Identity and Access Management-Lösung oder eine andere Benutzerpopulation dar.

• Audit

  Der Oracle Cloud Infrastructure Audit-Service zeichnet Aufrufe aller unterstützten Oracle Cloud Infrastructure-Endpunkte der öffentlichen Anwendungsprogrammierschnittstelle (API) automatisch als Logereignisse auf. Derzeit unterstützen alle Services das Logging von Oracle Cloud Infrastructure Audit.

• Protokollierung
  Logging ist ein hoch skalierbarer und vollständig verwalteter Service, der Zugriff auf die folgenden Logtypen aus Ihren Ressourcen in der Cloud ermöglicht:

  • Auditlogs: Logs für Ereignisse, die vom Auditservice ausgegeben werden.
  • Servicelogs: Von einzelnen Services ausgegebene Logs, wie API-Gateway, Ereignisse, Funktionen, Load Balancing, Object Storage und VCN-Flowlogs.
  • Benutzerdefinierte Logs: Logs, die Diagnoseinformationen aus benutzerdefinierten Anwendungen, anderen Cloud-Providern oder einer On-Premise-Umgebung enthalten.
• Überwachung

  Der Oracle Cloud Infrastructure Monitoring-Service überwacht Ihre Cloud-Ressourcen aktiv und passiv mit Metriken, um Ressourcen und Alarme zu überwachen und Sie zu benachrichtigen, wenn diese Metriken alarmspezifische Trigger erfüllen.

Vorgestellt und bereitgestellt werden

Möchten Sie zeigen, was Sie auf Oracle Cloud Infrastructure erstellt haben? Möchten Sie Ihre Erkenntnisse, Best Practices und Referenzarchitekturen mit unserer globalen Community aus Cloud-Architekten teilen? Wir helfen Ihnen bei den ersten Schritten.

1. Vorlage herunterladen (PPTX)

   Erstellen Sie eine eigene Referenzarchitektur, indem Sie die Symbole in den Beispiel-Drahtrahmen ziehen und ablegen.

2. Architekturtutorial ansehen

   Schritt-für-Schritt-Anweisungen zum Erstellen einer Referenzarchitektur.

3. Diagramm einreichen

   Senden Sie uns eine E-Mail mit Ihrem Diagramm. Unsere Cloud-Architekten überprüfen Ihr Diagramm und kontaktieren Sie, um Ihre Architektur zu besprechen.

Mehr erfahren

Erfahren Sie mehr über die Features dieser Architektur und die zugehörigen Architekturen.

• Best Practices-Framework für Oracle Cloud Infrastructure

• Fortinet-Sicherheitslösungen auf Oracle Cloud Infrastructure

• Fortinet FortiGate auf OCI - High Availability (HA)

• Bereitstellen von FortiGate-Firewalls und Sichern Ihrer Workloads auf OCI (LiveLab)

• Oracle Cloud Marketplace

• Oracle Cloud Infrastructure-Dokumentation

• Oracle Cloud-Kostenrechner

Bestätigungen

• Autoren: Robert Huie, Josh Hammer
• Mitwirkende: Sasha Banks-Louie, Robert Lies

  Fortinet-Team: Satish Chitupolu, Srija Reddy Allam, Cassie Christensen