1. Diseñe la seguridad de red CloudGuard para Oracle Cloud Infrastructure y proteja sus cargas de trabajo
  2. Diseñe la seguridad de red CloudGuard para Oracle Cloud Infrastructure y proteja sus cargas de trabajo

Diseñe la seguridad de red CloudGuard para Oracle Cloud Infrastructure y proteja sus cargas de trabajo

Mueva o amplíe cualquier carga de trabajo de la aplicación, como Oracle E-Business Suite o PeopleSoft, en la nube mediante Check Point CloudGuard Network Security para aumentar las opciones de seguridad nativas sin cambios significativos en la configuración, la integración o los procesos de negocio.

La seguridad en la nube se basa en un modelo de responsabilidad compartida. Oracle es responsable de la seguridad de la infraestructura subyacente, como las instalaciones del centro de datos, el hardware y el software para gestionar las operaciones y los servicios en la nube. Los clientes son responsables de proteger sus cargas de trabajo y configurar sus servicios y aplicaciones de forma segura para cumplir con sus obligaciones de conformidad.

Oracle Cloud Infrastructure (OCI) ofrece la mejor tecnología de seguridad y procesos operativos para proteger sus servicios empresariales en la nube. La seguridad de red de punto de control CloudGuard para OCI proporciona seguridad avanzada de varias capas para proteger las aplicaciones contra ataques y, al mismo tiempo, permite una conectividad segura desde las redes empresariales e híbridas de la nube. Juntos, protegen las aplicaciones en todos los centros de datos locales y entornos en la nube, lo que proporciona un rendimiento escalable y ofrece una orquestación de seguridad avanzada y una protección unificada contra las amenazas.

Los controles de seguridad incluyen las siguientes funciones:
  • Controles de acceso (cortafuegos)
  • Registro
  • Control de aplicaciones
  • Filtro de URL
  • Prevención de intrusos (IPS)
  • Prevención avanzada de amenazas (Anti-virus, antibot, SandBlast protección de día cero)
  • Red privada virtual (VPN) de sitio a sitio para comunicación con la red local
  • VPN de acceso remoto para la comunicación con usuarios de itinerancia
  • Traducción de dirección de red para tráfico vinculado a Internet

Arquitectura

Esta arquitectura de referencia ilustra cómo las organizaciones pueden proteger las aplicaciones de Oracle, como Oracle E-Business Suite, PeopleSoft y otras aplicaciones desplegadas en OCI mediante la seguridad de red CloudGuard de Check Point con un equilibrador de carga de red flexible.

Para proteger estos flujos de tráfico, Check Point recomienda segmentar la red mediante un concentrador norte y sur y un diseño de radio:
  • El hub norte protege los recursos de acceso público del tráfico entrante malicioso. El hub del norte utiliza el equilibrador de carga de red flexible de Oracle que permite a las organizaciones crear un juego escalable de gateways de seguridad de red CloudGuard con un tamaño adecuado según los requisitos de rendimiento.
  • El hub del sur protege el tráfico entre los radios, el tráfico que sale a Internet, el tráfico a Oracle Services Network y el tráfico hacia o desde redes locales. Recomendamos que el hub del sur contenga un cluster de alta disponibilidad de gateways de seguridad de red CloudGuard, de modo que se pueda producir un failover con estado para el tráfico sensible a la interrupción.
  • Despliegue cada nivel de la aplicación en su propia red virtual en la nube (VCN), que actúa como un radio. Esta separación permite el control granular del tráfico entre radios.
  • La VCN del hub del norte conecta el tráfico entrante de Internet a las distintas VCN radiales mediante un equilibrador de carga de red flexible y un gateway de enrutamiento dinámico (DRG).
  • La VCN del hub del sur se conecta a las VCN del radio a través del DRG. Todo el tráfico saliente y el tráfico entre radios utiliza reglas de tabla de rutas para enrutar el tráfico a través del DRG al hub del sur para que lo inspeccione el cluster de seguridad de red CloudGuard.
  • Utilice uno de los siguientes métodos para gestionar el entorno:
    • Gestione de forma centralizada el entorno con un servidor de gestión de seguridad de Check Point o un servidor de gestión de varios dominios, desplegado en su propia subred en la VCN del hub norte o como un despliegue de cliente preexistente accesible para los gateways de seguridad.
    • Gestione de forma centralizada el entorno desde el punto de control Smart-1 Gestión en la nube como servicio.

El siguiente diagrama ilustra esta arquitectura de referencia.

A continuación, se muestra la descripción de cloudguard-net-sec-arch.png
Descripción de la ilustración cloudguard-net-sec-arch.png

Para cada escenario de flujo de tráfico, asegúrese de que la traducción de direcciones de red (NAT) y las políticas de seguridad estén configuradas en los gateways de seguridad de red CloudGuard. El caso de uso del equilibrador de carga de red flexible soportado actualmente requiere que active NAT de origen en los firewalls de los que sale el tráfico.

Flujo de tráfico entrante norte-sur a través de la VCN del hub norte

El siguiente diagrama ilustra cómo el tráfico entrante norte-sur accede al nivel de aplicación web desde Internet:

A continuación, se muestra la descripción de inbound-no-hub-vcn.png
Descripción de la ilustración inbound-no-hub-vcn.png

Flujo de tráfico saliente de North-south a través de la VCN del hub del sur

El siguiente diagrama ilustra cómo las conexiones salientes de la aplicación web y los niveles de base de datos a Internet proporcionan actualizaciones de software y acceso a servicios web externos:

A continuación se muestra la descripción de outbound-so-hub-vcn.png
Descripción de la ilustración outbound-so-hub-vcn.png

Flujo de tráfico de East-west (de web a base de datos) a través de la VCN de hub del sur

El siguiente diagrama ilustra cómo se mueve el tráfico de la aplicación web al nivel de base de datos:

Descripción de e-w-w2db-so-hub.png
Descripción de la ilustración e-w-w2db-so-hub.png

Flujo de tráfico de East-west (de base de datos a web) a través de la VCN del hub del sur

El siguiente diagrama ilustra cómo se mueve el tráfico del nivel de base de datos a la aplicación web:

Descripción de e-w-db2w-so-hub.png
Descripción de la ilustración e-w-db2w-so-hub.png

Flujo de tráfico de East-west (aplicación web a Oracle Services Network) a través de la VCN de hub del sur

En el siguiente diagrama se muestra cómo se mueve el tráfico de la aplicación web a Oracle Services Network:

Descripción de e-w-w2osn-so.png
Descripción de la ilustración e-w-w2osn-so.png

Flujo de tráfico de East-west (Oracle Services Network a la aplicación web) a través de la VCN de hub del sur

En el siguiente diagrama se muestra cómo se mueve el tráfico de Oracle Services Network a la aplicación web:

Descripción de e-w-osn2web-so.png
Descripción de la ilustración e-w-osn2web-so.png

La arquitectura tiene los siguientes componentes:
  • Compruebe los gateways de seguridad de red del punto de control CloudGuard

    Ofrece prevención avanzada de amenazas y seguridad de red en la nube para nubes híbridas.

  • Gestión de seguridad de Check Point
    • Servidor de gestión de seguridad
    • Gestión de varios dominios
    • Smart-1 Gestión en la nube como servicio
  • Nivel de aplicación Oracle E-Business Suite o PeopleSoft

    Compuesto por los servidores de aplicaciones y el sistema de archivos de Oracle E-Business Suite o PeopleSoft.

  • Nivel de base de datos de Oracle E-Business Suite o PeopleSoft

    Compuesto por Oracle Database, pero no limitado a servicios de Oracle Exadata Database Cloud u Oracle Database.

  • Región

    Una región de OCI es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e incluso continentes).

  • Dominio de disponibilidad

    Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten la infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad es poco probable que afecte a los otros dominios de disponibilidad de la región.

  • Dominio de errores

    Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con alimentación y hardware independientes. Cuando distribuye recursos en varios dominios de errores, las aplicaciones pueden tolerar fallos del servidor físico, mantenimiento del sistema y fallos de alimentación dentro de un dominio de errores.

  • Red virtual en la nube (VCN) y subred

    Una VCN es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las redes del centro de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR no solapados que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango de direcciones contiguas que no se solapan con las otras subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • VCN de North Hub

    La VCN del hub del norte es una red centralizada en la que se despliegan los gateways de seguridad de red del punto de control CloudGuard. Proporciona conectividad de entrada segura a todas las VCN radiales.

  • VCN de South Hub

    La VCN de hub del sur es una red centralizada en la que los gateways de seguridad de red del punto de control CloudGuard se despliegan en un cluster de alta disponibilidad. Proporciona conectividad segura a todas las VCN radiales, servicios de OCI, puntos finales y clientes públicos, y redes del centro de datos local.

  • La capa de aplicación ha hablado de VCN

    La capa de aplicación incluye una subred privada para alojar componentes de Oracle E-Business Suite o PeopleSoft.

  • El nivel de base de datos ha hablado de VCN

    La capa de base de datos incluye una subred privada para alojar bases de datos Oracle.

  • Equilibrador de carga

    El servicio de equilibrio de carga de OCI proporciona una distribución de tráfico automatizada desde un punto de entrada único a varios servidores del backend.

  • Equilibrador de carga de red flexible

    El equilibrador de carga de red flexible de OCI proporciona una distribución de tráfico automatizada de un punto de entrada a varios servidores backend de las VCN. Funciona a nivel de conexión y equilibradores de carga de conexiones de cliente entrantes a servidores backend en buen estado basados en datos Layer3 o Layer4 (protocolo IP).

  • Lista de Seguridad

    Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

  • Tabla de ruta
    Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes a destinos fuera de una VCN, normalmente a través de gateways. En la VCN del hub del norte, tiene las siguientes tablas de rutas:
    • La tabla de rutas del equilibrador de carga de red asociada a la subred del equilibrador de carga de red que apunta al bloque CIDR de la subred local a través de DRG y tiene una ruta predeterminada para conectarse al gateway de Internet.
    • Tabla de rutas de frontend conectada a la subred de frontend, que tiene una ruta predeterminada conectada al gateway de Internet para enrutar el tráfico desde la VCN del hub norte a destinos de Internet o locales.
    • Tabla de rutas de backend asociada a la subred de backend que apunta al bloque CIDR de las VCN radiales a través de DRG.
    En la VCN del hub del sur, tiene las siguientes tablas de rutas:
    • Tabla de rutas de frontend conectada a la subred de frontend que tiene una ruta predeterminada conectada al gateway de Internet para enrutar el tráfico desde la VCN del hub del sur a destinos de Internet o locales.
    • Tabla de rutas de backend asociada a la subred de backend que apunta al bloque CIDR de las VCN radiales a través de gateways de enrutamiento dinámico.
    • La tabla de rutas de entrada de VCN de South Hub está asociada a la VCN de hub para enviar cualquier tráfico entrante desde las VCN radiales a través del gateway de direccionamiento dinámico a la dirección IP flotante secundaria de la interfaz de backend del gateway de seguridad de red CloudGuard principal.
    • Para cada radio conectado al hub del Norte mediante gateways de enrutamiento dinámico, se define una tabla de rutas distinta y se conecta a una subred asociada. Esta tabla de rutas reenvía todo el tráfico (0.0.0.0/0) desde la VCN radial asociada a los gateways de enrutamiento dinámico a través de la dirección IP flotante secundaria de la interfaz backend del gateway de seguridad de red CloudGuard principal, o también puede definirlo en el nivel granular.
    • Tabla de rutas de gateway de servicio de Oracle asociada al gateway de servicio de Oracle para la comunicación de red de Oracle Service. Esa ruta reenvía todo el tráfico (0.0.0.0/0) a la dirección IP flotante secundaria de la interfaz backend del gateway de seguridad de red CloudGuard principal.
    • Para mantener la simetría de tráfico, las rutas también se agregan a cada gateway de seguridad de red CloudGuard de Check Point para señalar el bloque CIDR del tráfico de radio a la IP de gateway por defecto de la subred (interna) (IP de gateway por defecto disponible en la subred de backend en la VCN de hub del sur) y el bloque CIDR por defecto (0.0.0.0/0) que apunta a la IP de gateway por defecto de la subred de frontend.
    En el DRG, tiene las siguientes tablas de rutas:
    • Para cada asociación de VCN radial, tiene una tabla de rutas de DRG asociada para garantizar que el tráfico se dirige a la VCN de hub del sur. Agregue una regla de ruta para garantizar que el tráfico destinado a la subred de backend de la VCN del hub del norte siga la misma ruta de acceso de la que procede el tráfico.
    • Para la asociación de VCN de hub del sur, una tabla de rutas de DRG asociada garantiza que las rutas importadas de cada VCN conectado a DRG formen parte de esta tabla de rutas.
  • Gateway de internet

    El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

  • Gateway de NAT

    El gateway de NAT permite que los recursos privados de una VCN accedan a los hosts de Internet, sin exponer dichos recursos a las conexiones de Internet entrantes.

  • Gateway de enrutamiento dinámico (DRG)

    El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre una VCN y una red fuera de la región, como una VCN en otra región de OCI, una red local o una red en otro proveedor de nube.

  • Gateway de servicio

    El gateway de servicio proporciona acceso desde una VCN a otros servicios, como OCI Object Storage. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no internet.

  • FastConnect OCI

    FastConnect proporciona una forma sencilla de crear una conexión privada dedicada entre el centro de datos y OCI. FastConnect ofrece opciones de ancho de banda superior y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

  • Tarjeta de interfaz de red virtual (VNIC)

    Los servicios de los centros de datos de OCI tienen tarjetas de interfaz de red (NIC) física. Las instancias de VM se comunican mediante NIC virtuales (VNIC) asociadas con las NIC físicas. Cada instancia tiene una VNIC principal que se crea y se asocia automáticamente durante el despliegue y que está disponible durante el tiempo de vida de la instancia. DHCP se ofrece solo a la VNIC principal. Puede agregar VNIC secundarias después del despliegue de la instancia. Configure IP estáticas para cada interfaz.

  • IP privadas

    Dirección de IPv4 privada e información relacionada para tratar una instancia. Cada VNIC tiene una IP privada principal, y puede agregar y eliminar IP privadas secundarias. La dirección IP privada principal de una instancia se asocia durante el despliegue de la instancia y no cambia durante el tiempo de vida de la instancia. Las IP secundarias también pertenecen al mismo CIDR de la subred de la VNIC. La IP secundaria se utiliza como IP flotante porque se puede mover entre diferentes VNIC en diferentes instancias dentro de la misma subred. También puede utilizarlo como un punto final diferente para alojar diferentes servicios.

  • IP Públicas
    Los servicios de red definen una dirección IPv4 pública elegida por Oracle y asignada a una IP privada. Las IP públicas tienen los siguientes tipos: efímero:
    • Esta dirección es temporal y existe mientras dure la instancia.
    • Reservado: esta dirección persiste más allá de la duración de la instancia. Puede anular su asignación y reasignarlas a otra instancia.
  • Comprobación de origen y destino

    Cada VNIC realiza la comprobación de origen y destino en su tráfico de red. La desactivación de este indicador permite que un gateway de seguridad de red de punto de control CloudGuard maneje el tráfico de red que no está dirigido al firewall.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para proteger cargas de trabajo o cargas de trabajo de aplicaciones de Oracle E-Business Suite o PeopleSoft en OCI mediante el gateway de seguridad de red Check Point CloudGuard. Los requisitos pueden ser diferentes de la arquitectura que se describe aquí.
  • VCN

    Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque según el número de recursos que planea asociar a subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

    Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.

    Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques de CIDR.

    Al diseñar las subredes, tenga en cuenta los requisitos de flujo de tráfico y seguridad. Conecte todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

    Utilice subredes regionales y utilice el CIDR de VCN completo como parte del CIDR de la subred para que se inspeccione todo el tráfico de las VCN radiales.

  • Seguridad de red del punto de control CloudGuard
    • Despliegue un cluster de alta disponibilidad en el hub del sur.
    • Despliegue un conjunto escalable en el hub del norte.
    • Siempre que sea posible, despliegue en dominios de errores distintos en dominios de disponibilidad como mínimo o diferentes.
    • Asegúrese de que la MTU esté establecida en 9000 en todas las VNIC.
    • Utilice interfaces SRIOV y VFIO (solo unidades AMD).
    • Cree una segunda topología de hub en una región separada para la recuperación ante desastres o la georreconocimiento.
    • No restrinja el tráfico mediante listas de seguridad o gateways de seguridad de red (NSG) porque todo el tráfico está protegido por el gateway de seguridad.
    • De manera predeterminada, los puertos 443 y 22 están abiertos en el gateway y hay más puertos abiertos según las políticas de seguridad.
  • Gestión de seguridad de punto de control
    • Si está creando un despliegue alojado en OCI, cree una subred dedicada para la gestión.
    • Desplegar un servidor de gestión secundario (alta disponibilidad de gestión) en un dominio o región de disponibilidad diferente.
    • Utilice listas de seguridad o NSG para restringir el acceso entrante a los puertos 443, 22 y 19009 originados desde Internet para la administración de la política de seguridad y para ver logs y eventos.
    • Cree una lista de seguridad o un NSG que permita el tráfico de entrada y salida a los gateways de seguridad desde el servidor de gestión de seguridad.
  • Políticas de seguridad de Check Point

    Consulte la documentación de la aplicación en la sección Explorar más para obtener la información más actualizada sobre los puertos y protocolos necesarios.

Consideraciones

Al proteger las cargas de trabajo de Oracle E-Business Suite o PeopleSoft en OCI mediante el gateway Check Point CloudGuard Network Security, tenga en cuenta los siguientes factores:

  • Rendimiento
    • La selección del tamaño de instancia adecuado, determinado por la unidad de computación, determina el rendimiento máximo disponible, la CPU, la RAM y el número de interfaces.
    • Las organizaciones necesitan saber qué tipos de tráfico atraviesa el entorno, determinar los niveles de riesgo adecuados y aplicar los controles de seguridad adecuados según sea necesario. El rendimiento afecta a diferentes combinaciones de controles de seguridad activados.
    • Considere la posibilidad de agregar interfaces dedicadas para servicios FastConnect o VPN. Considere el uso de grandes unidades de computación para un mayor rendimiento y acceso a más interfaces de red.
    • Ejecutar pruebas de rendimiento para validar el diseño puede mantener el rendimiento y el rendimiento necesarios.
  • Seguridad
    • El despliegue de la gestión de seguridad de Check Point en OCI permite la configuración y supervisión centralizadas de las políticas de seguridad de todas las instancias de gateway de seguridad física y virtual de Check Point.
    • Para los clientes de Check Point existentes, también se admite la migración de Security Management a OCI.
    • Defina una política o grupo dinámico distinto de Identity and Access Management (IAM) por despliegue de cluster.
  • Disponibilidad
    • Despliegue su arquitectura en distintas regiones geográficas para una mayor redundancia.
    • Configure VPN de sitio a sitio con redes organizativas relevantes para una conectividad redundante con redes locales.
  • Costo
    • Check Point CloudGuard está disponible en los modelos de licencia Tra-your-own-license (BYOL) y Pay As You Go (PAYG) para gateways de seguridad y gestión de seguridad en Oracle Cloud Marketplace.
    • Las licencias del gateway de seguridad de red del punto de control CloudGuard se basan en el número vCPUs (una OCPU es equivalente a dos vCPUs).
    • Las licencias de Check Point BYOL son portátiles entre instancias. Por ejemplo, si está migrando cargas de trabajo desde otras nubes públicas que también utilizan licencias de BYOL, no necesita adquirir nuevas licencias desde Check Point. Consulte al representante de Check Point si tiene preguntas o necesita verificar el estado de su licencia.
    • Check Point Security Management tiene licencia por gateway de seguridad gestionado. Por ejemplo, dos clusters cuentan cuatro para la licencia de gestión de seguridad.

Desplegar

El código de Terraform para <describir brevemente la arquitectura> está disponible como pila en Oracle Cloud Marketplace.También puede descargar el código de GitHub y personalizarlo para adaptarlo a los requisitos de negocio específicos.
  • Desplegar mediante la pila en Oracle Cloud Marketplace:
    1. Configure la infraestructura de red necesaria como se muestra en el diagrama de arquitectura, al que puede hacer referencia como ejemplo. Para obtener instrucciones detalladas, consulte Configurar una topología de red en estrella.
    2. Despliegue la aplicación (Oracle E-Business Suite, PeopleSoft o las aplicaciones necesarias) en su entorno.
    3. Oracle Cloud Marketplace incluye varias listas para distintas configuraciones y requisitos de licencia. Por ejemplo, la siguiente característica de listas proporciona su propia licencia (BYOL). Para cada lista que elija, haga clic en Get App (Obtener aplicación) y siga las indicaciones de la pantalla.
  • Realice el despliegue con el código de Terraform en GitHub:
    1. Vaya a GitHub.
    2. Clone o descargue el repositorio en su equipo local.
    3. Siga las instrucciones del documento README.

Explorar más

Obtenga más información sobre las funciones de esta arquitectura y los recursos relacionados.