Despliegue una arquitectura de VPN de acceso remoto escalable mediante Cisco ASAv en Oracle Cloud Infrastructure

Los firewalls virtuales amplían sin problemas la seguridad local líder del sector de Cisco en la nube. Ideal para trabajadores remotos y entornos multi-inquilino. Cisco ASAv proporciona a Oracle Cloud Infrastructure (OCI) una solución VPN escalable con varias opciones de funciones, como acceso remoto, sitio a sitio, cliente menos y más.

Arquitectura

Esta arquitectura de referencia ilustra cómo las organizaciones pueden desplegar arquitectura de VPN de acceso remoto escalable para acceder a aplicaciones de Oracle, como Oracle E-Business Suite y PeopleSoft, o aplicaciones desplegadas en OCI mediante el firewall virtual de Cisco ASA con un equilibrador de carga de red flexible.

Para acceder a estas aplicaciones, Cisco recomienda segmentar la red mediante una topología de hub y radios, donde el tráfico se enruta a través de un hub de tránsito (VCN externa/interna) y se conecta a varias redes (voces) distintas. Asegúrese de haber desplegado varios firewall virtual de ASA entre equilibradores de carga de red flexibles. Todo el tráfico entre radios se enruta a través de la VCN externa o interna con el firewall virtual de Cisco ASA.

Despliegue cada nivel de la aplicación en su propia red virtual en la nube (VCN), que actúa como un radio. La VCN/VCN de gestión de hub contiene dos firewall ASAv de Cisco detrás del equilibrador de carga de red.

La VCN interna se conecta a las VCN radial mediante LPG/DRG. Todo el tráfico de Spoke utiliza reglas de tabla de rutas para enrutar el tráfico a través de los LPG/DRG a la VCN interna para garantizar que el tráfico vuelva a los usuarios finales de VPN.

Puede gestionar y supervisar ASAv mediante ASDM o CLI. Hay otras opciones de gestión disponibles, como Cisco Defense Orchestrator (CDO). El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración ravpn_arch_cisco_asa_vfirewall.png

ravpn_arch_cisco_asa_vfirewall-oracle.zip

La arquitectura tiene los siguientes componentes:

• Firewall virtual Cisco ASA

  Cisco Adaptive Security Virtual Appliance (ASAv) ofrece la funcionalidad completa del firewall a entornos virtualizados para proteger el tráfico del centro de datos y los entornos multi-inquilino. Para proteger de manera uniforme las nubes públicas y privadas.

• Región

  Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e, incluso, continentes).

• Dominio de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, que ofrecen tolerancia a los fallos. Los dominios de disponibilidad no comparten una infraestructura como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.

• Dominio de errores

  Un dominio de errores es una agrupación de hardware e infraestructura en un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con hardware y energía independientes. Al distribuir recursos entre varios dominios de errores, las aplicaciones pueden tolerar fallos físicos del servidor, mantenimiento del sistema y fallos de energía dentro de un dominio de errores.

• Red virtual en la nube (VCN) y subred

  Una VCN es una red definida por software personalizable que se configura en una región de OCI. Al igual que las redes del centro de datos tradicionales, las VCN le proporcionan un control completo sobre su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• VCN de gestión

  La VCN de gestión es una red centralizada en la que se despliega el firewall virtual de Cisco ASA. Proporciona conectividad segura con la VCN interna/todos los VCN radial, los servicios de OCI, los puntos finales públicos y los clientes, y las redes de centros de datos locales.

• Fuera de VCN

  La VCN externa contiene una subred pública para alojar un equilibrador de carga de red flexible que los usuarios finales utilizan para conectarse como cabecera de VPN. Cada firewall virtual de Cisco ASA también tiene una interfaz dentro de la subred de esta VCN.

• Dentro de VCN

  La VCN interna contiene una subred privada para garantizar que los usuarios finales puedan conectarse a la aplicación que se ejecuta en esta VCN o tener una ruta a los VCN de Spoke a través de esta VCN. Cada firewall virtual de Cisco ASA también tiene una interfaz dentro de la subred de esta VCN.

• VCN de Spoke

  La VCN radial del nivel de aplicación/base de datos contiene una subred privada para alojar bases de datos/aplicación de Oracle.

• Equilibrador de carga de red flexible

  El equilibrador de carga de red flexible de OCI proporciona una distribución de tráfico automatizada de un punto de entrada a varios servidores backend de las redes virtuales en la nube. Funciona a nivel de conexión y equilibradores de carga en conexiones de cliente entrantes a servidores backend en buen estado en función de los datos Layer3/Layer4 (protocolo IP).

• Lista de Seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Tabla de rutas

  Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes hasta destinos fuera de una VCN, normalmente a través de gateways.

  • En la VCN de gestión, tiene las siguientes tablas de rutas: tabla de rutas de gestión asociada a la subred de gestión que tiene una ruta por defecto conectada al gateway de Internet.
  • En la VCN externa, tiene las siguientes tablas de rutas: tabla de rutas externa asociada a la subred externa o VCN por defecto para enrutar el tráfico de la VCN externa a destinos de Internet o locales.
  • En la VCN interna, tiene las siguientes tablas de rutas: cada CIDR de pool de VPN asociado al firewall va a la interfaz interna a través de esta tabla de rutas.

  Nota:

  También puede desplegar una subred de gestión/dentro/fuera como parte de una sola VCN y enrutar el tráfico según corresponda.
• Gateway de internet

  El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• gateway de NAT

  El gateway de NAT permite a los recursos privados de una VCN acceder a los hosts en Internet, sin exponer dichos recursos a las conexiones de Internet entrantes.

• Gateway de enrutamiento dinámico (DRG)

  El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre una VCN y una red fuera de la región, como una VCN en otra región de OCI, una red local o una red en otro proveedor de nube.

• Gateway de servicio

  El gateway de servicios proporciona acceso desde una VCN a otros servicios, como OCI Object Storage. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no internet.

• Tarjeta de interfaz de red virtual (VNIC)

  Los servicios de los centros de datos OCI tienen tarjetas de interfaz de red (NIC) física. Las instancias de VM se comunican mediante NIC virtuales (VNIC) asociadas a las NIC físicas. Cada instancia tiene una VNIC principal que se crea y se asocia automáticamente durante el inicio y está disponible durante la vida útil de la instancia. DHCP solo se ofrece a la VNIC principal. Puede agregar VNIC secundarias después del inicio de la instancia. Defina IP estáticas para cada interfaz.

• IP privadas

  Dirección de IPv4 privada e información relacionada para tratar una instancia. Cada VNIC tiene una IP privada principal, y puede agregar y eliminar IP privadas secundarias. La dirección IP privada primaria de una instancia se asocia durante el inicio de la instancia y no cambia durante la vida útil de la instancia.

• IP Públicas

  Los servicios de red definen una dirección IPv4 pública elegida por Oracle que está asignada a una IP privada. Las IP públicas tienen los siguientes tipos: efímeras: esta dirección es temporal y existe mientras dure la instancia. Reservado: esta dirección persiste más allá del tiempo de vida de la instancia. Se puede anular la asignación y reasignar a otra instancia.

• Comprobación de origen y destino

  Cada VNIC realiza la comprobación de origen y destino en su tráfico de red. La desactivación de este indicador permite que el firewall virtual de Cisco ASA gestione el tráfico de red que no está destinado al firewall.

• Forma de cálculo

  La unidad de una instancia informática especifica el número de CPU y la cantidad de memoria asignada a la instancia. La unidad de computación también determina el número de VNIC y el ancho de banda máximo disponible para la instancia informática.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para desplegar la arquitectura de VPN de acceso remoto mediante el firewall virtual de Cisco ASA. Sus requisitos pueden diferir de la arquitectura descrita aquí.

• VCN
  • Al crear una VCN, determine el número de bloques de CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que se encuentren dentro del espacio de direcciones IP privadas estándar.
  • Seleccione bloques CIDR que no se superpongan con ninguna otra red (en OCI, su centro de datos local u otro proveedor en la nube) a la que desea configurar conexiones privadas.
  • Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques de CIDR.
  • Al diseñar las subredes, tenga en cuenta el flujo de tráfico y los requisitos de seguridad. Conecte todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.
  • Utilice subredes regionales.
• Firewall virtual Cisco ASA
  • Esta arquitectura tiene instancias de firewall independientes; en caso de fallo de firewall, el usuario final deberá volver a autenticarse.
  • Siempre que sea posible, implemente en dominios de errores distintos en dominios de disponibilidad mínimos o diferentes.
• Gestión de firewall virtual de Cisco ASA
  • Si está creando un despliegue alojado en Oracle Cloud Infrastructure, cree una subred dedicada para la gestión.
  • Utilice listas de seguridad o NSG para restringir el acceso entrante a los puertos 443 y 22 procedentes de Internet para la administración de la política de seguridad y para ver logs y eventos.

Consideraciones

Al desplegar la arquitectura de VPN de acceso remoto para acceder a las cargas de trabajo de Oracle E-Business Suite o PeopleSoft en OCI mediante el firewall virtual de Cisco ASA, tenga en cuenta los siguientes factores:

• Rendimiento
  • Al seleccionar el tamaño de instancia adecuado, determinado por la unidad de computación, se determina el rendimiento máximo disponible, la CPU, la RAM y el número de interfaces.
  • Las organizaciones deben saber qué tipos de tráfico atraviesan el entorno, determinar los niveles de riesgo adecuados y aplicar los controles de seguridad adecuados según sea necesario. Diferentes combinaciones de controles de seguridad activados afectan al rendimiento.
  • Considere la posibilidad de agregar interfaces dedicadas para servicios FastConnect o VPN.
  • Considere el uso de unidades de computación de gran tamaño para un mayor rendimiento y acceso a más interfaces de red.
  • Las pruebas de rendimiento de ejecución para validar el diseño pueden mantener el rendimiento y el rendimiento necesarios.
  • Utilice estas métricas como directriz:

    Especificaciones de rendimiento de OCI para la versión 9.16 y posteriores.

    Tipo de licencia	100 millones (ASAv5)	1 GB (ASAv10)	2 GB (ASAv30)	10 GB (ASAv50)	20 GB (ASAv100)
    Tipo de unidad de OCI	VM.Standard2.4	VM.Standard2.4	VM.Standard2.4	VM.Standard2.8	VM.Standard2.8
    Rendimiento de inspección con estado	100 Mbps	1 Gbps	2 Gbps	Pronto	Pronto
    Rendimiento de inspección con estado (multiprotocolo)	100 Mbps	1 Gbps	2 Gbps	2.3 Gbps	3 Gbps
    Rendimiento de VPN con IPsec (prueba UDP AES 450B)	100 Mbps	550 Mbps	550 Mbps	550 Mbps	620 Mbps
    Conexiones por Segundo	12 500	26.600	26.600	26.600	38.200
    Sesiones Simultáneas	50 000	100 000	500 000	2 000 000	4 000 000
    Peers de VPN IPSEC	50	250	750	10.000	20.000
    Sesiones de usuario de VPN sin cliente o Cisco AnyConnect	50	250	750	10.000	20.000

• Seguridad

  La implementación del firewall virtual de Cisco ASA en OCI permite servicios completos de firewall para proteger el tráfico del centro de datos y los trabajadores remotos.

• Disponibilidad
  • Despliegue la arquitectura en distintas regiones geográficas para obtener la mayor redundancia.
  • Configure las VPN de sitio a sitio con redes organizativas relevantes para una conectividad redundante con redes locales.
• Costo
  • El firewall virtual de Cisco ASA está disponible en Traiga su propia licencia (BYOL).
  • Para obtener más información sobre cómo gestionar licencias, consulte Hoja de datos de Cisco Adaptive Security Virtual Appliance (ASAv) y Licencias inteligentes para ASAv, a las que se hace referencia en el tema Explorar más, a continuación.

Desplegar

Para desplegar una arquitectura de VPN de acceso remoto en Oracle Cloud Infrastructure mediante el firewall virtual de Cisco ASA, realice los siguientes pasos:

Oracle recomienda desplegar la arquitectura de Oracle Cloud Marketplace.

• Realice el despliegue con la pila en Oracle Cloud Marketplace:
  1. Realice el despliegue con la pila en Oracle Cloud Marketplace: configure la infraestructura de red necesaria como se muestra en el diagrama de arquitectura. Consulte este ejemplo: configure una topología de red en estrella.
  2. Despliegue la aplicación (Oracle E-Business Suite, PeopleSoft o aplicaciones previstas) en su entorno.
  3. Oracle Cloud Marketplace cuenta con varias listas para diferentes configuraciones y requisitos de licencia. Por ejemplo, la siguiente función de listas trae su propia licencia (BYOL). Para cada lista que elija, haga clic en Obtener aplicación y siga las indicaciones en pantalla:
     • Firewall virtual Cisco ASA
     • Listas de Cisco Marketplace
• Realice el despliegue con el código de Terraform en GitHub:
  1. Vaya a GitHub.
  2. Clone o descargue el repositorio en su computadora local.
  3. Siga las instrucciones del documento README.

Explorar más

Obtenga más información sobre las funciones de esta arquitectura y los recursos relacionados.

Revise estos recursos adicionales para obtener más información sobre Oracle Cloud Infrastructure:

• Marco de mejores prácticas para Oracle Cloud Infrastructure
• Guía de seguridad de Oracle Cloud Infrastructure
• Obtenga más información sobre el despliegue de Oracle E-Business Suite en Oracle Cloud Infrastructure
• Obtenga más información sobre el despliegue de PeopleSoft en Oracle Cloud Infrastructure
• Obtener más información sobre el despliegue del equilibrador de carga de red flexible

Revise estos recursos adicionales para obtener más información sobre Cisco:

• Cisco ASAv en la guía de Oracle Cloud Infrastructure
• Explore los recursos de Cisco Secure Firewall para la nube
• Blog: Aprovisionar ASAv de Cisco desde OCI Marketplace
• Blog: Configurar en ASAv la VPN de acceso remoto con autenticación local

Agradecimientos

• Autor: Arun Poonia