Nota:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a Oracle Cloud Infrastructure Free Tier.
• Utiliza valores de ejemplo para las credenciales, el arrendamiento y los compartimentos de Oracle Cloud Infrastructure. Al finalizar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Proteja sus cargas de trabajo de Oracle Cloud VMware Solution con Oracle Cloud Infrastructure Network Firewall

Introducción

En este documento se describe cómo utilizar el firewall de red de Oracle Cloud Infrastructure (OCI) para proteger las cargas de trabajo que se ejecutan en Oracle Cloud VMware Solution. Oracle Cloud VMware Solution permite crear y gestionar VMware Software-Defined Data Center (SDDC) en OCI.

El firewall de red de OCI se puede desplegar como un modelo distribuido o un modelo de tránsito. En este tutorial, desplegaremos el modelo de tránsito, donde el firewall de red está en la VCN del hub, el SDDC de Oracle Cloud VMware Solution en una VCN radial. Con las capacidades de enrutamiento de entrada e intra VCN de OCI Networking, puede inspeccionar el tráfico mediante el firewall de red que se ejecuta en la VCN del hub.

Nota: Aunque este tutorial muestra OCI Network Firewall, la mayoría de los conceptos se deben aplicar a cualquier otro dispositivo de 3a parte como Fortinet, Palo Alto Networks, Cisco, Check Point y mucho más. El cliente debe trabajar con el proveedor/socio específico para asegurarse de que sea compatible con el proveedor.

Casos de uso

Las capacidades de enrutamiento entre VCN de OCI nos proporcionan la simplicidad de configurar el enrutamiento para soportar el tráfico de carga de trabajo de OCI en las VCN y también puede utilizar un firewall para inspeccionar/proteger el tráfico. Utilizaremos capacidades de enrutamiento de entrada e intraVCN que incluyen:

• Enrutamiento dentro de la VCN: permite cambiar el enrutamiento directo para el tráfico dentro de la VCN con las rutas definidas. Podrá definir rutas de nivel de subred.

• Enrutamiento de entrada de gateway de Internet/gateway de traducción de dirección de red: esto permite definir rutas para el tráfico público entrante a la VCN en un próximo salto seleccionado por el usuario.

• Mejora del enrutamiento de entrada del gateway de software: permite definir las rutas del gateway de software para enrutar el tráfico desde servicios de OCI a destinos dentro de la VCN.

En este tutorial, validaremos diferentes escenarios de tráfico y funciones clave compatibles con OCI Network Firewall:

• Inspección del tráfico Norte-Sur entre OCI y la superposición de NSX: protege el tráfico de la máquina virtual de OCI Native Compute a las máquinas virtuales de Oracle Cloud VMware Solution NSX Workload.

• Inspección del tráfico Norte-Sur entre la superposición de NSX e Internet público: protege el tráfico de las cargas de trabajo de NSX de Oracle Cloud VMware Solution al tráfico orientado a Internet.

• Inspección de tráfico de extremo izquierdo en subredes y VLAN de OCI: protege el tráfico de la máquina virtual de OCI Native Comute a Oracle Cloud VMware Solution vSphere, que se aloja en la VLAN de OCI.

• Inspección de tráfico del extremo izquierdo en subredes de OCI: protege el tráfico de la máquina virtual de base de datos de OCI al host ESXi del SDDC de Oracle Cloud VMware Solution alojado en una subred de OCI.

• Valide las funciones de seguridad del firewall de red, incluidas la prevención de intrusiones, la detección de intrusiones, el filtrado de URL y la inspección de entrada SSL.

Nota: No puede inspeccionar el tráfico este-oeste en las máquinas virtuales de carga de trabajo de NSX mediante el modelo de tránsito. Si desea inspeccionar ese tráfico, se recomienda desplegar la solución de partner de 3a parte en el entorno de Oracle Cloud VMware Solution, que no se trata en este tutorial.

Objetivo

En este tutorial se describe la capacidad de enrutamiento entre VCN de OCI con la solución Firewall de red de OCI en un entorno de solución VMware de Oracle Cloud. Hemos tratado el caso de uso de enrutamiento de redes virtuales en la nube, que simplifica el despliegue del firewall en OCI.

Requisitos

• Se puede configurar una topología de red entre VCN en funcionamiento según el diagrama de topología.
• Un firewall de red de OCI en funcionamiento en la VCN de hub:
  • Puede seguir este taller para familiarizarse con la solución OCI Network Firewall.
• Un entorno de SDDC de Oracle Cloud VMware Solution en funcionamiento desplegado en una VCN dedicada, puede seguir la documentación de Oracle Cloud VMware Solution. Para este tutorial, hemos desplegado un único SDDC de host.
• En este tutorial, hemos desplegado una máquina virtual de Linux Bastion y una máquina virtual de Windows Jump Host en las respectivas subredes para representar las cargas de trabajo nativas de OCI. Se pueden sustituir por cualquier otra máquina virtual que pueda alojar una aplicación o base de datos.

Nota: En un entorno de producción, debe desplegar firewalls con alta disponibilidad.

Arquitectura

Puede consultar la siguiente topología para admitir este caso de uso.

Tarea 1: Configuración del firewall de red de OCI

En las siguientes secciones, se muestra la configuración mínima necesaria del firewall de red de OCI. Para conocer las configuraciones más avanzadas, consulte la documentación oficial.

1. Subredes y VLAN de VCN: el primer paso consiste en asegurarse de que ha creado las VCN y las subredes necesarias, como se describe en la sección Requisitos previos, para soportar la topología de casos de uso.

   • Puede verificarlos mediante la consola de OCI navegando a Redes virtuales en la nube, Detalles de red virtual en la nube y Recursos.

     • Subred de firewall-subred-IAD para admitir el firewall de red en hub-VCN
     • Subred pública-base-subred-IAD, JumpHost-subred-IAD en hub-VCN para admitir máquinas virtuales para validaciones de tráfico
     • Subred DB-Subnet-IAD en VCN DB-Spoke-VCN-IAD para soportar cargas de trabajo de base de datos
     • Durante el despliegue del SDDC de Oracle Cloud VMware Solution, se deben haber creado la subred y las VLAN adecuadas

   • La siguiente imagen muestra el hub-VCN (Firewall-VCN-IAD) y las subredes asociadas.

     

   • A continuación, debe desplegar el firewall de red de OCI desplegado en una subred de firewall. Para obtener más información, consulte la documentación oficial.

2. Reglas de política de firewall de red de OCI: asegúrese de agregar las reglas de seguridad de firewall necesarias para soportar el tráfico de casos de uso. Para obtener más información sobre cómo configurar reglas, consulte la documentación oficial.

   

3. Firewall de red de OCI: en el hub-VCN, despliegue el firewall de red según los requisitos previos. Una vez que la máquina virtual del firewall esté activa, utilícela para proteger el tráfico.

   

4. Tablas de rutas para VCN, subredes, VLAN y asociaciones de DRG: deberá configurar las tablas de rutas para que reflejen las reglas de ruta correctas para la topología de casos de uso. En un nivel superior, debe modificar las tablas de rutas en las VCN de la siguiente forma:

   • Firewall-VCN

     • Tabla de rutas de subred de firewall: cree entradas con cada CIDR de subred como destino y como destino como gateway de Internet, gateway de datos, gateway de servicio o DRG.
     • Tabla de rutas de subred de Public Bastion: cree entradas con cada CIDR de subred como destino y como destino como dirección IP de firewall de red.
     • Tabla de rutas de subred JumpHost privada: cree entradas con cada CIDR de subred como destino y como destino como dirección IP del firewall de red.
     • Tabla de rutas de entrada de VCN: cree entradas con cada CIDR de destino y el destino como dirección IP de firewall para inspeccionar el tráfico de las VCN de Spoke.

   • VCN de Oracle Cloud VMware Solution

     • Tabla de rutas de SDDC de subred: cree entradas con cada CIDR de subred como destino y el destino como DRG.
     • vSphere Tabla de rutas VLAN: cree entradas con cada CIDR de subred como destino y como DRG como destino.
     • Tabla de rutas VLAN de enlace superior de NSX Edge 1: cree entradas con cada CIDR de subred como destino y como DRG como destino.
     • Tabla de rutas de entrada de VCN: cree entradas con cada destino Overlays CIDR y el destino como dirección IP NSX-EDGE-UPLINK para garantizar que el tráfico vuelva a los hosts de superposición.

   • VCN de base de datos

     • Tabla de rutas de subred de base de datos: cree entradas con cada CIDR de subred como destino y el destino como DRG para inspeccionar el tráfico mediante OCI Network Firewall.

   • Datos adjuntos de DRG VCN

     • Tabla de rutas de asociación de firewall-VCN: cree entradas con cada CIDR de carga de trabajo NSX como destino y el siguiente salto como asociación de VCN de Oracle Cloud VMware Solution. Importar distribución de rutas con criterios coincidentes con Oracle Cloud VMware Solution y VCN de base de datos.
     • Oracle Cloud VMware Solution - Tabla de rutas de asociación de VCN: cree entradas con cada CIDR de subred como destino y como destino como conexión de firewall y VCN para inspeccionar el tráfico mediante OCI Network Firewall.
     • Tabla de rutas de conexión de base de datos: cree entradas con cada CIDR de subred como destino y con el siguiente salto como conexión de firewall y VCN para inspeccionar el tráfico mediante el firewall de red de OCI.

Nota: Asegúrese de que se utilice la simetría de ruta para que el tráfico se inspeccione correctamente en ambas direcciones.

Tarea 2: Validación e inspección del tráfico desde OCI Network Firewall

En este punto, puede validar el tráfico desde la máquina virtual de Windows JumpHost, la máquina virtual de Bastion, el entorno de SDDC de Oracle Cloud VMware Solution, las máquinas virtuales de superposición NSX y la máquina virtual de Spoke de base de datos e inspeccionar el tráfico desde el firewall de red de OCI. En la siguiente imagen, se muestran las máquinas virtuales necesarias que se ejecutan según la topología de casos de uso.

Inspección del tráfico Norte-Sur de la máquina virtual de Windows JumpBox a las máquinas virtuales de superposición NSX mediante el enrutamiento dentro de la VCN (IVR)

• Las capacidades de enrutamiento IVR permiten enrutar el tráfico dentro de la VCN y la ruta definida por el usuario a la IP privada del firewall. En la siguiente imagen se muestra el flujo de tráfico lógico y las diferentes tablas de enrutamiento asociadas para garantizar que la máquina virtual de Windows JumpHost se pueda comunicar con las máquinas virtuales de carga de trabajo de NSX de Oracle Cloud VMware Solution.

  

• Ya ha aplicado la regla de seguridad necesaria como se indica a continuación, lo que garantizará que el tráfico se inspeccione mediante el firewall.

  

• Puede acceder a las máquinas virtuales de carga de trabajo de Oracle Cloud VMware Solution (172.16.X.X) desde la máquina virtual de Windows JumpHost (10.40.1.160).

  

  

• En la siguiente imagen se muestran los logs de tráfico del firewall de red de OCI según las reglas de seguridad aplicadas.

  

  

Inspección del tráfico Norte-Sur de la máquina virtual de superposición de NSX a Internet mediante el enrutamiento de entrada del gateway de red

• El enrutamiento de IVR y las capacidades de enrutamiento de entrada del gateway de red permiten enrutar el tráfico dentro de una VCN y utilizar una ruta definida por el usuario a un gateway de traducción de direcciones de red. En la siguiente imagen se muestra el flujo de tráfico lógico y las diferentes tablas de enrutamiento que se utilizan para activar las rutas de entrada de IVR y gateway de red desde las máquinas virtuales de carga de trabajo de Oracle Cloud VMware Solution a Internet mediante OCI Network Firewall.

  

• Ya ha aplicado la regla de seguridad necesaria como se indica a continuación, lo que garantizará que el tráfico se inspeccione mediante el firewall.

  

• Puede establecer la conectividad de la máquina virtual de carga de trabajo NSX (172.16.1.5) de Oracle Cloud VMware Solution a Internet (info.cern.ch).

  

• En la siguiente imagen se muestran los logs de tráfico del firewall de red de OCI según las reglas de seguridad aplicadas.

  

Inspección de tráfico de este oeste desde la máquina virtual de Windows JumpBox hasta vCenter a través del enrutamiento dentro de la VCN (IVR)

• Las capacidades de enrutamiento IVR permiten enrutar el tráfico dentro de la VCN y la ruta definida por el usuario a la IP privada del firewall. En la siguiente imagen se muestra el flujo de tráfico lógico y las diferentes tablas de enrutamiento asociadas para garantizar que la máquina virtual de Windows JumpHost pueda acceder al servidor de Oracle Cloud VMware Solution vCenter:

  

• Ya ha aplicado la regla de seguridad necesaria como se indica a continuación, lo que garantizará que el tráfico se inspeccione mediante el firewall.

  

• Puede acceder al servidor de Oracle Cloud VMware Solution vCenter (10.0.4.2) desde la máquina virtual de Windows JumpHost (10.40.1.160).

  

• En la siguiente imagen se muestran los logs de tráfico del firewall de red de OCI según las reglas de seguridad aplicadas.

  

Inspección de tráfico este-oeste desde la máquina virtual de Spoke de base de datos y el host ESXi y viceversa

• Las capacidades de enrutamiento de IVR permiten enrutar el tráfico dentro de las VCN y la ruta definida por el usuario a la IP privada del firewall. En la siguiente imagen se muestra el flujo de tráfico lógico y diferentes tablas de enrutamiento asociadas para garantizar que el tráfico de VM de Spoke a un host ESXi del SDDC de Oracle Cloud VMware Solution se borre por motivos de seguridad.

  

• Ya ha aplicado la regla de seguridad necesaria como se indica a continuación, lo que garantizará que el tráfico se inspeccione mediante el firewall.

  

• Puede acceder al host de Oracle Cloud VMware Solution ESXi (10.0.0.110) desde la máquina virtual de base de datos (10.50.0.118) y el tráfico se debe rechazar según la regla de seguridad aplicada.

  

• En la siguiente imagen se muestran los logs de tráfico del firewall de red de OCI según la regla de seguridad aplicada.

  

IPS/IDS, filtrado de URL, proxy de reenvío SSL e inspección de entrada SSL de máquinas virtuales de superposición NSX a Internet mediante enrutamiento entre VCN

• Las funciones de claves de firewall de red le proporcionan capacidades de firewall de última generación, como Prevención de intrusiones, Detección de intrusiones, Filtrado de URL, Inspección de entrada SSL, etc., puede utilizarlas conjuntamente con el entorno de SDDC de Oracle Cloud VMware Solution.

• En la siguiente imagen se muestra el flujo de tráfico lógico y diferentes tablas de enrutamiento asociadas para garantizar que se puedan utilizar las capacidades de NGFW:

  

• Para obtener más información sobre estas capacidades, siga la documentación oficial del firewall de red de OCI.

ID/IP

• En la siguiente imagen, se muestra la regla de seguridad IPS/IDS asociada con el firewall. En nuestro caso, Jumpbox VM descargará el malware EICAR sobre HTTPS.

  

• Puede acceder al malware orientado a Internet mediante el enrutamiento de entrada del gateway de red desde Jumpbox VM. El tráfico fluirá a través del firewall.

  

• En la siguiente imagen se muestran los logs de tráfico del firewall de red de OCI y se debe generar una alerta según la acción de IDS.

  

Filtrado de URL

• En la siguiente imagen, se muestran las URL que filtran la regla de seguridad en el firewall de red. En nuestro caso, la máquina virtual de Oracle Cloud VMware Solution NSX Workload accede a cierta URL pública y debe rechazarse.

  

• En la siguiente imagen se muestran los logs de tráfico del firewall de red de OCI y se debe aplicar la regla de seguridad correcta.

  

Control de entrada SSL y proxy de reenvío

• Hemos creado una regla de descifrado para soportar el tráfico SSL/TLS, lo que garantizará que el tráfico HTTPS de Jumpbox VM a Internet esté utilizando el perfil de proxy SSL Forward.

  

  

• Puede acceder a las URL orientadas a Internet a través de SSL/HTTPS mediante NGW desde Jumpbox VM. El tráfico fluirá a través del firewall.

  

Enlaces relacionados

• Oracle Cloud Infrastructure
• Visión general de Oracle Cloud VMware Solution
• Enrutamiento de red virtual en la nube de Oracle Cloud
• Arquitectura radial y de hub de Oracle Cloud Infrastructure
• Firewall de hub de tránsito de Oracle Cloud Infrastructure mediante un DRG
• Documentación de Oracle Dynamic Routing Gateway
• Firewall de red de OCI
• Visión general del firewall de red de OCI
• Taller de firewall de red de OCI
• Defensa en profundidad, puesta en capas con OCI Network Firewall

Agradecimientos

Autorizaciones:

• Arun Poonia (Arquitecto principal de Soluciones)
• Praveen Kumar Pedda Vakkalam (Arquitecto principal de soluciones)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.

---

Título e Información de Copyright

Secure your Oracle Cloud VMware Solution workloads with Oracle Cloud Infrastructure Network Firewall

F80966-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.