Cargas de trabajo seguras con cortafuegos Palo Alto Networks VM Series con equilibrador de carga de red flexible

Palo Alto Networks VM-Series de cortafuegos virtuales de próxima generación protegen entornos multicolores proporcionando visibilidad y control de tráfico de aplicaciones completas sobre aplicaciones personalizadas, administración y aplicación de políticas consistentes de cortafuegos entre nubes, protección contra amenazas impulsada por máquina y prevención de exfiltraciones, y capacidades automatizadas de despliegue y aprovisionamiento para mantenerse al día con incluso los entornos más dinámicos.

Los firewalls virtuales de próxima generación de la serie VM aumentan los controles de seguridad de red nativos de Oracle Cloud Infrastructure protegiendo contra las explotaciones, el malware, las amenazas conocidas y desconocidas y la exfiltración de datos.

Los firewalls virtuales de próxima generación de la serie VM proporcionan todas las capacidades de firewalls físicos de próxima generación en un factor de forma de máquina virtual (VM), proporcionando seguridad de red en línea y prevención de amenazas para proteger constantemente las nubes públicas y privadas, los centros de datos virtualizados y las ubicaciones de sucursales. Los firewalls virtuales de la serie VM ofrecen las características que los equipos de seguridad necesitan para proteger los entornos de nube pública, incluida la visibilidad y el control completos, la aplicación de políticas coherentes, la seguridad de las aplicaciones, la prevención de la exfiltración, el cumplimiento y la gestión de riesgos, la automatización de la seguridad y la gestión gnóstica de la nube.

  • Visibilidad y control completos encuentran amenazas en todos los entornos
  • La aplicación coherente de políticas proporciona la mejor seguridad en clase
  • La conformidad y Risk Management se vuelven más fáciles
  • Seguridad Automatización Salvaguardias DevOps


A continuación se muestra la descripción de palo_alto_nlb_adv_sec.png
Descripción de la ilustración palo_alto_nlb_adv_sec.png

Arquitectura

Esta arquitectura de referencia ilustra cómo las organizaciones pueden proteger las aplicaciones Oracle, como Oracle E-Business Suite y PeopleSoft, desplegadas en Oracle Cloud Infrastructure (OCI) mediante el firewall de la serie VM Palo Alto Networks con equilibrador de carga de red flexible.

Para proteger estos flujos de tráfico, Palo Alto Networks recomienda segmentar la red utilizando un centro y topología hablada, donde el tráfico se enruta a través de un centro central y está conectado a múltiples redes distintas (radios). Asegúrese de que ha desplegado varias instancias de la serie VM entre equilibradores de carga de red flexibles considerados como topología sándwich. Todo el tráfico entre radios, ya sea desde y hacia Internet, desde y hacia las instalaciones, o hacia Oracle Services Network, se enruta a través del hub e inspecciona con las tecnologías de prevención de amenazas de múltiples capas de Palo Alto Networks VM Series.

Despliegue cada nivel de la aplicación en su propia red virtual en la nube (VCN), que actúa como hablado. El hub VCN contiene un cluster activo/activo de firewall de la serie VM Palo Alto Networks, gateway de Internet Oracle, gateway de enrutamiento dinámico (DRG), Oracle Service Gateway, gateways de peering locales (LPG), equilibradores de carga de red flexibles internos y externos.

El hub VCN se conecta a los VCN hablados a través de LPG. Todo el tráfico hablado utiliza reglas de tabla de rutas para enrutar el tráfico a través de los GLP al hub utilizando un equilibrador de carga de red flexible para su inspección por el cluster de firewall de la serie VM Palo Alto Networks.

Puede configurar y gestionar el cortafuegos Palo Alto Networks localmente, o puede gestionarlo de forma centralizada mediante Panorama, el sistema centralizado de gestión de seguridad Palo Alto Networks. Panorama ayuda a los clientes a reducir la complejidad y la sobrecarga administrativa en la gestión de actualizaciones de configuración, políticas, software y contenido dinámico. Mediante grupos de dispositivos y plantillas en Panorama, puede gestionar eficazmente la configuración específica del firewall localmente en un firewall y aplicar políticas compartidas en todos los firewalls o grupos de dispositivos.

El siguiente diagrama ilustra esta arquitectura de referencia.


Descripción de palo_alto_nlb_nw_vm_oci.png a continuación
Descripción de la ilustración palo_alto_nlb_nw_vm_oci.png

Para cada flujo de tráfico, asegúrese de que la traducción de direcciones de red (NAT) y las políticas de seguridad estén abiertas en el firewall de la serie VM Palo Alto Networks.

Tráfico de entrada Norte-Sur

El siguiente diagrama ilustra cómo el tráfico entrante norte-sur accede al nivel de aplicación web desde Internet y desde centros de datos remotos.


Descripción de palo_alto_nlb_nor_sur _inbound.png a continuación
Descripción de la ilustración palo_alto_nlb_nor_sur _inbound.png

Tráfico saliente Norte-Sur

El siguiente diagrama ilustra cómo las conexiones salientes desde la aplicación web y los niveles de base de datos a Internet proporcionan actualizaciones de software y acceso a servicios web externos.


Descripción de palo_alto_nlb_nor_sur _outbound.png a continuación
Descripción de la ilustración palo_alto_nlb_nor_South_outbound.png

Tráfico Este-Oeste (Web a Base de Datos)

El siguiente diagrama ilustra cómo el tráfico se mueve de la aplicación web a la capa de base de datos.


Descripción de palo_alto_nlb_east_west_web_db.png a continuación
Descripción de la ilustración palo_alto_nlb_east_west_web_db.png

Tráfico Este-Oeste (Base de Datos a Web)

El siguiente diagrama ilustra cómo el tráfico se mueve de la capa de base de datos a la aplicación web.


Descripción de palo_alto_nlb_east_west_db_web.png a continuación
Descripción de la ilustración palo_alto_nlb_east_west_db_web.png

Tráfico Este-Oeste (Aplicación Web a Oracle Services Network)

En el siguiente diagrama se muestra cómo el tráfico se mueve de la aplicación web a Oracle Services Network.


Descripción de palo_alto_nlb_east_west_webapp_osn.png a continuación
Descripción de la ilustración palo_alto_nlb_east_west_webapp_osn.png

Tráfico Este-Oeste (Oracle Services Network to Web Application)

En el siguiente diagrama se muestra cómo el tráfico se mueve de Oracle Services Network a la aplicación web.


Descripción de palo_alto_nlb_east_west_osn_webapp.png a continuación
Descripción de la ilustración palo_alto_nlb_east_west_osn_webapp.png

La arquitectura tiene los siguientes componentes:

  • Cortafuegos Palo Alto Networks VM Series

    Proporciona todas las capacidades de firewalls físicos de próxima generación en forma de máquina virtual (VM), proporcionando seguridad de red en línea y prevención de amenazas para proteger constantemente las nubes públicas y privadas.

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y grandes distancias pueden separarlas (entre países o incluso continentes).

  • Dominios de disponibilidad

    Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como energía o refrigeración, o la red de dominio de disponibilidad interna. Por lo tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de la región.

  • Dominios de Fallos

    Un dominio de fallo es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de fallo con energía y hardware independientes. Cuando distribuye recursos en varios dominios de fallos, las aplicaciones pueden tolerar fallos en el servidor físico, el mantenimiento del sistema y los fallos de energía dentro de un dominio de fallos.

  • Red virtual en la nube (VCN) y subredes

    VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las VCN le dan un control completo sobre su entorno de red. Un VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear el VCN. Puede segmentar un VCN en subredes, que se pueden asignar a una región o a un dominio de disponibilidad. Cada subred se compone de un rango contiguo de direcciones que no se solapan con las otras subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • VCN de hub

    El hub VCN es una red centralizada en la que se despliegan firewalls de Palo Alto Networks VM-Series. Proporciona conectividad segura a todas las VCN habladas, los servicios de Oracle Cloud Infrastructure, los puntos finales y clientes públicos y las redes de centros de datos locales.

  • VCN hablado de nivel de aplicación

    La VCN hablada de nivel de aplicación contiene una subred privada para alojar componentes de Oracle E-Business Suite o PeopleSoft.

  • Nivel de base de datos hablado VCN

    VCN de nivel de base de datos hablado contiene una subred privada para alojar bases de datos Oracle.

  • Equilibrador de carga

    El servicio Oracle Cloud Infrastructure Load Balancing proporciona distribución automática del tráfico desde un único punto de entrada hasta varios servidores en el extremo posterior.

  • Equilibrador de carga de red flexible

    El equilibrador de carga de red flexible de Oracle Cloud Infrastructure proporciona distribución de tráfico automatizada de un punto de entrada a varios servidores backend en sus redes virtuales en la nube. Opera en el nivel de conexión y equilibra las conexiones de cliente entrantes con servidores backend sanos basados en datos de Layer3/Layer4 (protocolo IP).

  • Lista de seguridad

    Para cada subred, puede crear reglas de seguridad que especifiquen el origen, destino y tipo de tráfico que se debe permitir dentro y fuera de la subred.

  • Tabla de Direccionamiento

    Las tablas de rutas virtuales contienen reglas para enrutar el tráfico de subredes a destinos fuera de VCN, normalmente a través de gateways.

    En el VCN de hub, tiene las siguientes tablas de rutas:

    • Tabla de rutas de gestión anexa a la subred de gestión que tiene una ruta predeterminada conectada al gateway de Internet.
    • Tabla de rutas de desconfianza asociada a la subred de desconfianza o VCN por defecto para enrutar el tráfico desde el VCN de hub a los destinos de Internet o locales.

      Esta tabla de rutas también tiene una entrada adicional que apunta a las subredes locales mediante un gateway de enrutamiento dinámico. Esto garantiza que no se produzca ninguna interrupción del tráfico durante el futuro soporte de traducción de direcciones de red nativa.

    • Tabla de rutas de confianza adjunta a la subred de confianza que apunta al bloque CIDR de los VCN hablados a través de los LPG asociados.
    • Tabla de rutas del equilibrador de carga de red (NLB) conectada a la subred NLB que apunta al bloque CIDR de subredes locales mediante gateways de enrutamiento dinámicos.
    • Para cada uno de los oradores conectados al hub, se define una tabla de rutas distinta y se adjunta a un GLP asociado. Esa tabla de rutas reenvía todo el tráfico (0.0.0.0/0) desde el LPG hablado asociado a través del equilibrador de carga de red flexible interno, o también puede definirlo a nivel granular.
    • Tabla de rutas de gateway de servicio de Oracle asociada al gateway de servicio de Oracle para la comunicación de red de servicios de Oracle. Esa ruta reenvía todo el tráfico (0.0.0.0/0) a la IP VIP del equilibrador de carga interno.
    • Para mantener la simetría de tráfico, también se agregan rutas a cada firewall Palo Alto Networks VM-Series para apuntar el bloque CIDR de tráfico hablado a la IP predeterminada de gateway de subred trust (interna) (IP predeterminada de gateway disponible en la subred trust en el hub VCN) y al bloque CIDR predeterminado (0.0.0.0/0) que apunta a IP predeterminada de gateway de subred Untrust.
  • Gateway de internet

    El gateway de internet permite el tráfico entre las subredes públicas en un VCN y el internet público.

  • Gateway de NAT

    El gateway NAT permite a los recursos privados de VCN acceder a hosts en internet, sin exponerlos a conexiones de internet entrantes.

  • Gateway de peering local (LPG)

    Un LPG permite emparejar un VCN con otro VCN en la misma región. Peering significa que las VCN se comunican utilizando direcciones IP privadas, sin que el tráfico atraviese internet o enrutamiento a través de su red local.

  • Gateway de enrutamiento dinámico (DRG)

    DRG es un enrutador virtual que proporciona una ruta de acceso para el tráfico de red privada entre VCN y una red fuera de la región, como VCN en otra región de Oracle Cloud Infrastructure, una red local o una red en otro proveedor de nube.

  • Gateway de servicio

    El gateway de servicio proporciona acceso de VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico desde VCN al servicio Oracle viaja por el tejido de red Oracle y nunca atraviesa Internet.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect proporciona una forma sencilla de crear una conexión privada y dedicada entre el centro de datos y Oracle Cloud Infrastructure. FastConnect proporciona opciones de ancho de banda superior y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

  • Tarjeta de interfaz de red virtual (VNIC)

    Los servicios de los centros de datos de Oracle Cloud Infrastructure tienen tarjetas de interfaz de red física (NIC). Las instancias de máquina virtual se comunican mediante NIC virtuales (VNIC) asociadas a las NIC físicas. Cada instancia tiene una VNIC primaria que se crea y se asocia automáticamente durante el inicio y está disponible durante la vida útil de la instancia. DHCP solo se ofrece a la VNIC principal. Puede agregar VNIC secundarias después del inicio de la instancia. Debe definir IP estáticas para cada interfaz.

  • IP privadas

    Dirección IPv4 privada e información relacionada para dirigirse a una instancia. Cada VNIC tiene una IP privada primaria y puede agregar y eliminar IP privadas secundarias. La dirección IP privada primaria de una instancia se adjunta durante el inicio de la instancia y no cambia durante la vida útil de la instancia. Las IP secundarias también deben pertenecer al mismo CIDR de la subred de la VNIC. La IP secundaria se utiliza como IP flotante porque puede moverse entre VNIC diferentes en diferentes instancias dentro de la misma subred. También puede usarlo como un punto final diferente para alojar diferentes servicios.

  • IP públicas

    Los servicios de red definen una dirección IPv4 pública seleccionada por Oracle que está asignada a una IP privada.

    • Ephemeral: Esta dirección es temporal y existe durante toda la vida de la instancia.
    • Reservado: esta dirección persiste más allá de la vida útil de la instancia. Se puede anular la asignación y reasignarla a otra instancia.
  • Comprobación de origen y destino

    Cada VNIC realiza la comprobación de origen y destino en su tráfico de red. La desactivación de este indicador permite a CGNS manejar el tráfico de red que no está dirigido al firewall.

  • Forma informática

    La forma de una instancia de cálculo especifica el número de CPU y la cantidad de memoria asignada a la instancia. La forma de cálculo también determina el número de VNIC y el ancho de banda máximo disponible para la instancia de cálculo.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para proteger las cargas de trabajo de Oracle E-Business Suite o PeopleSoft en Oracle Cloud Infrastructure mediante Palo Alto Networks VM-Series Firewall. Sus requisitos pueden diferir de la arquitectura descrita aquí.
  • VCN

    Al crear un VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que tiene previsto asociar a subredes en VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

    Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, el centro de datos local u otro proveedor de nube) a la que desea configurar conexiones privadas.

    Después de crear un VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

    Cuando diseñe las subredes, tenga en cuenta sus requisitos de flujo de tráfico y seguridad. Conecte todos los recursos dentro de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

    Utilice subredes regionales.

    Verifique el número máximo de LPG por VCN en los límites de servicio, en caso de que desee ampliar esta arquitectura para varios entornos y aplicaciones.

  • Cortafuegos Palo Alto Networks serie VM
    • Despliegue un cluster activo/activo y, si es necesario, agregue instancias adicionales.
    • Siempre que sea posible, despliegue en dominios de fallos distintos en dominios de disponibilidad mínimos o diferentes.
    • Asegúrese de que MTU esté definido en 9000 en todas las VNIC.
    • Utilice interfaces VFIO.
  • Gestión de seguridad de cortafuegos serie VM de Palo Alto Networks
    • Si está creando un despliegue alojado en Oracle Cloud Infrastructure, cree una subred dedicada a la gestión.
    • Utilice listas de seguridad o NSG para restringir el acceso entrante a los puertos 443 y 22 originados en Internet para la administración de la política de seguridad y para ver los logs y eventos.
  • Políticas de cortafuegos Palo Alto Networks VM Series

    Asegura que ha configurado las políticas de traducción de direcciones de red necesarias activadas en instancias de firewall de la serie VM. Consulte la documentación del firewall en la sección Explorar más para obtener la información más actualizada sobre las políticas de seguridad, los puertos y los protocolos necesarios.

Consideraciones

Al proteger cargas de trabajo de Oracle E-Business Suite o PeopleSoft en Oracle Cloud Infrastructure mediante el firewall Palo Alto Networks VM Series, tenga en cuenta lo siguiente:

  • Rendimiento
    • La selección del tamaño de instancia adecuado, determinado por la forma de cálculo, determina el rendimiento máximo disponible, la CPU, el RAM y el número de interfaces.
    • Las organizaciones deben saber qué tipos de tráfico atraviesa el medio ambiente, determinar los niveles de riesgo adecuados y aplicar los controles de seguridad adecuados según sea necesario. Diferentes combinaciones de controles de seguridad activados impactan en el rendimiento.
    • Considere la posibilidad de agregar interfaces dedicadas a los servicios de FastConnect o VPN.
    • Considere la posibilidad de utilizar grandes formas informáticas para obtener un mayor rendimiento y acceso a más interfaces de red.
    • Ejecutar pruebas de rendimiento para validar el diseño puede mantener el rendimiento y el rendimiento necesarios.
  • Seguridad

    El despliegue del firewall de la serie VM de Palo Alto Networks en Oracle Cloud Infrastructure permite la configuración centralizada de la política de seguridad y la supervisión de todas las instancias físicas y virtuales de Palo Alto Networks VM Series.

  • Disponibilidad
    • Despliegue su arquitectura en distintas regiones geográficas para mayor redundancia.
    • Configure VPN de sitio a sitio con redes organizativas relevantes para una conectividad redundante con redes locales.
  • Costo
    • Palo Alto Networks VM-Series Firewall está disponible en modelos de licencia bring-your-own-license (BYOL) y pay-as-you-go para el paquete 1 y el paquete 2 en Oracle Cloud Marketplace.
      • El paquete 1 incluye la licencia de capacidad de la serie VM, la licencia de prevención de amenazas y un derecho de soporte premium.
      • El paquete 2 incluye la licencia de capacidad de la serie VM con el conjunto completo de licencias que incluye prevención de amenazas, WildFire, filtrado de URL, seguridad de DNS, GlobalProtect y un derecho de soporte premium.

Desplegar

Puede desplegar el firewall Palo Alto Networks VM Series en Oracle Cloud Infrastructure mediante Oracle Cloud Marketplace. También puede descargar el código de Github y personalizarlo para adaptarse a sus requisitos empresariales específicos.

Oracle recomienda desplegar la arquitectura desde Oracle Cloud Marketplace.

  • Desplegar mediante la pila en Oracle Cloud Marketplace:
    1. Configure la infraestructura de red necesaria como se muestra en el diagrama de arquitectura. Consulte Configurar una topología de red hub-and-spoke.
    2. Despliegue la aplicación (Oracle E-Business Suite u PeopleSoft) en el entorno.
    3. Oracle Cloud Marketplace tiene varias listas para diferentes configuraciones y requisitos de licencias. Por ejemplo, la siguiente función de listados trae su propia licencia (BYOL). Para cada lista que elija, haga clic en Obtener aplicación y siga las peticiones de datos en pantalla:
  • Desplegar mediante el código Terraform en GitHub:
    1. Vaya al repositorio de GitHub.
    2. Clone o descargue el repositorio en su computadora local.
    3. Siga las instrucciones del documento README.