Proteja sus recursos en la nube mediante un firewall virtual

Aunque Oracle Cloud Infrastructure ofrece controles de seguridad de red a través de listas de seguridad y grupos de seguridad de red, en algunos escenarios se requieren diferentes tipos de seguridad de red. Para esos escenarios, Oracle Cloud Infrastructure utiliza redes virtuales en la nube (VCN) y subredes para colocar los diferentes segmentos de la red y el firewall para manejar los controles de seguridad.

El despliegue de un firewall para controlar el flujo de red le ofrece las siguientes ventajas:

• Controles centralizados de acceso
• Filtrado de contenido
• Traducción de direcciones de red entrante y saliente (NAT) y traducción de direcciones de puerto (PAT)
• Políticas avanzadas de tráfico
• Consistencia de procedimientos a través de diferentes entornos (locales y otros proveedores de nube), lo que también simplifica la migración y la expansión a la nube porque se están utilizando las mismas herramientas
• Capacidades de diseño ampliadas para escenarios complejos

Arquitectura

En esta arquitectura, un firewall virtual controla el tráfico norte-sur y el tráfico este-oeste. La arquitectura muestra cómo diseñar la red y dónde colocar el firewall.

El tráfico de North-south es el tráfico que viene de Internet (a través del gateway de Internet) o el entorno local (a través del gateway de enrutamiento dinámico) a las VCN. El tráfico de este a oeste es el tráfico entre las VCN de su arrendamiento.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración firewall-oci.png

firewall-oci-oracle.zip

En el diagrama, las VNIC conectan las subredes a un firewall virtual (como un firewall de la serie VM de Palo Alto Networks). Las subredes asumen los siguientes roles en la arquitectura:

1. La subred pública de gestión en VCN1 (CIDR 10.0.1.0/24) proporciona al administrador de red acceso a la consola del firewall virtual a través de SSH y HTTPS.
2. La subred pública que no es de confianza en VCN1 (CIDR 10.0.2.0/24) permite a los clientes acceder a subredes privadas desde Internet con el control de Palo Alto Firewall.
3. La subred privada de confianza en VCN1 (CIDR 10.0.3.0/24) actúa como DMZ.
4. La subred privada de confianza en VCN2 (CDIR 10.1.1.0/24) permite recursos privados ocultos.

La arquitectura tiene los siguientes componentes:

• Región

  Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e, incluso, continentes).

• Dominios de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como energía o refrigeración, o la red de dominio de disponibilidad interna. Por lo tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.

• Dominios de Fallos

  Un dominio de errores es una agrupación de hardware e infraestructura en un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con hardware y energía independientes. Al distribuir recursos entre varios dominios de errores, las aplicaciones pueden tolerar fallos físicos del servidor, mantenimiento del sistema y fallos de energía dentro de un dominio de errores.

• Red virtual en la nube (VCN) y subredes

  Una VCN es una red personalizada y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes del centro de datos tradicionales, las VCN le proporcionan un control completo sobre su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• Gateway de internet

  El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• Gateway de enrutamiento dinámico (DRG)

  El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre una VCN y una red fuera de la región, como una VCN en otra región de Oracle Cloud Infrastructure, una red local o una red en otro proveedor de nube.

• Tabla de rutas

  Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes hasta destinos fuera de una VCN, normalmente a través de gateways.

• Listas de seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, destino y tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Tarjeta de interfaz de red virtual (VNIC)

  Una VNIC permite que una instancia se conecte a VCN y determina cómo se conecta la instancia con puntos finales dentro y fuera de VCN. Cada instancia viene automáticamente con una VNIC primaria y puede agregar otras secundarias.

• Cortafuegos

  El firewall controla el flujo entre los segmentos del entorno. Las funciones avanzadas varían entre los proveedores.

Recomendaciones

Sus requisitos pueden diferir de la arquitectura descrita aquí. Utilice las siguientes recomendaciones como punto de inicio.

• VCN

  Al crear una VCN, determine el número de bloques de CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que se encuentren dentro del espacio de direcciones IP privadas estándar.

  Seleccione un rango de direcciones que no se solape con la red local, de modo que pueda configurar una conexión entre la VCN y la red local, si es necesario.

  Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques de CIDR.

  Al diseñar las subredes, tenga en cuenta sus requisitos de seguridad y funcionalidad. Asocie todas las instancias informáticas del mismo nivel o rol a la misma subred.

  Utilice subredes regionales.

• Listas de seguridad

  Aunque todo el tráfico fluye a través del firewall, todavía se necesitan listas de seguridad para el tráfico dentro y entre subredes.

• Cortafuegos

  Si su entorno es crítico para la misión, asegúrese de que el firewall que implemente admite un despliegue de alta disponibilidad para evitar interrupciones inesperadas.

  Al utilizar un firewall en espera, despliega el firewall en un dominio de fallos diferente.

  Debido a que el firewall no se gestiona como parte de Oracle Cloud Infrastructure, asegúrese de que sus parches siempre se aplican.

  El firewall necesita varias VNIC para conectar los diferentes segmentos del entorno. Seleccione una forma de instancia que proporcione suficientes VNIC.

Consideraciones

• Rendimiento

  Como punto central de comunicación, la instancia de firewall debe tener suficientes VNIC para conectar los segmentos existentes. En la mayoría de los casos, la CPU no es un factor limitante. En Oracle Cloud Infrastructure, el número de VNIC y el ancho de banda asociado se amplían con el número de OCPU de la forma de la instancia.

• Seguridad

  El firewall no se gestiona como parte de Oracle Cloud Infrastructure. Implemente procedimientos seguros para garantizar un acceso seguro a la gestión y una buena política de parches.

• Disponibilidad

  El cortafuegos es el punto central donde fluyen todas las comunicaciones. El firewall que elija debe poder trabajar en un modo de alta disponibilidad para evitar impactos si se produce una interrupción no planificada.

• Costo

  El costo del uso de esta arquitectura se basa en el tamaño de la forma de instancia utilizada para el firewall. Si elige una solución de cortafuegos de pago, también deben tenerse en cuenta los costos de licencia.

Despliegue

El código de Terraform de esta arquitectura de referencia está disponible como una pila de ejemplo en Oracle Cloud Infrastructure Resource Manager. También puede descargar el código desde GitHub y personalizarlo para adaptarlo a sus necesidades específicas.

• Realice el despliegue con Oracle Cloud Infrastructure Resource Manager:
  1. Haga clic en .

     Si aún no ha iniciado sesión, introduzca el arrendamiento y las credenciales de usuario.

  2. Revise y acepte las condiciones.
  3. Seleccione la región en la que desea desplegar la pila.
  4. Siga las indicaciones en pantalla e instrucciones para crear la pila.
  5. Después de crear la pila, haga clic en Acciones de Terraform y seleccione Plan.
  6. Espere a que se complete el trabajo y revise el plan.

     Para realizar cambios, vuelva a la página Detalles de pila, haga clic en Editar pila y realice los cambios necesarios. A continuación, vuelva a ejecutar la acción Plan.

  7. Si no es necesario realizar más cambios, vuelva a la página Detalles de pila, haga clic en Acciones de Terraform y seleccione Aplicar.
• Desplegar con el código de Terraform en GitHub:
  1. Vaya a GitHub.
  2. Clone o descargue el repositorio en su equipo local.
  3. Siga las instrucciones del documento README.

Explorar más

• Cargas de trabajo de aplicaciones seguras con el firewall de la serie VM de Palo Alto Networks
• Despliegues de redes de Palo Alto compatibles con OCI
• Fortinet FortiGate en OCI - Alta disponibilidad (HA)

Log de Cambios

Este log muestra los cambios significativos:

28 de marzo de 2022

Se ha agregado la sección Desplegar y se han agregado instrucciones para desplegar la arquitectura mediante Oracle Cloud Infrastructure Resource Manager. Actualizó el diagrama y agregó una versión descargable y editable en Arquitectura.