Proteja sus cargas de trabajo que se ejecutan en Oracle Cloud Infrastructure con FortiGate

Oracle Cloud Infrastructure (OCI) ofrece la mejor tecnología de seguridad y procesos operativos para proteger sus servicios empresariales en la nube. Sin embargo, la seguridad en la nube se basa en un modelo de responsabilidad compartida. Oracle es responsable de la seguridad de la infraestructura subyacente, como las instalaciones del centro de datos, el hardware y el software para gestionar las operaciones y los servicios en la nube. Los clientes son responsables de proteger sus cargas de trabajo y configurar sus servicios y aplicaciones de forma segura para cumplir con sus obligaciones de conformidad.

Las empresas recurren a la infraestructura en la nube de 2.a generación de Oracle para crear nuevas aplicaciones, ampliar los centros de datos internos y, en última instancia, aprovechar la elasticidad de la nube pública. Esas mismas empresas recurren a Fortinet para ayudar a proteger sus aplicaciones y datos en OCI.

Las soluciones de seguridad adaptables en la nube Fortinet protegen las cargas de trabajo y las aplicaciones en los centros de datos y entornos en la nube locales con seguridad multicapa para aplicaciones basadas en la nube. El tejido de seguridad de Fortinet abarca centros de datos y nubes para proporcionar una vista consolidada de la postura de seguridad, una única consola para la gestión de políticas y la generación de informes de gobernanza, y el control de eventos independientemente de la infraestructura física, virtual o en la nube en nubes privadas, públicas e híbridas.

Las soluciones Fortinet están disponibles en Oracle Cloud Marketplace como listas a demanda y de licencias propias (BYOL).

Arquitectura

Esta arquitectura de referencia ilustra cómo las organizaciones pueden proteger las aplicaciones de Oracle, como Oracle E-Business Suite y PeopleSoft, desplegadas en OCI mediante un firewall FortiGate y un diseño simplificado con un gateway de enrutamiento dinámico (DRG).

Para proteger estos flujos de tráfico, Fortinet recomienda segmentar la red mediante una topología de hub y radio, donde el tráfico se enruta a través de un hub de tránsito y está conectado a varias redes distintas (discos). Asegúrese de haber desplegado un cluster FortiGate de alta disponibilidad. Todo el tráfico entre los radios, tanto desde como hacia Internet, hacia y desde las ubicaciones locales, o hacia Oracle Services Network, se enruta a través del hub e inspecciona con el firewall FortiGate de Fortinet que ofrece capacidades de firewall de última generación para organizaciones de todos los tamaños, con la flexibilidad que se implementará como un firewall de última generación, un firewall de segmentación interno o un gateway de red privada virtual (VPN). Protege contra amenazas cibernéticas con alto rendimiento, eficacia de seguridad y visibilidad total.

Despliegue cada nivel de la aplicación en su propia red virtual en la nube (VCN), que actúa como un radio. La VCN de hub contiene un cluster de alta disponibilidad, activo-pasivo, FortiGate, gateway de Internet de Oracle, DRG y gateway de Oracle Service.

Esta arquitectura puede proporcionar un diseño muy escalable y modular para conectar múltiples radios, donde cada red radial representa un nivel de aplicación, como web, aplicación y base de datos. Funciona en un único entorno, como la producción, las pruebas y el desarrollo, y en diferentes infraestructuras, como regiones, centros de datos locales y multinube.

La VCN de hub se conecta a las VCN radiales a través de DRG. Todo el tráfico radial utiliza reglas de tabla de rutas para enrutar el tráfico a través del DRG al hub mediante la tabla de rutas de entrada de VCN al firewall FortiGate para su inspección.

También puede gestionar el firewall FortiGate mediante FortiManager. La gestión de panel único de FortiManager proporciona una estrategia centralizada de gestión y aprovisionamiento basada en el tejido de seguridad de Fortinet que integra perfectamente la arquitectura de seguridad e infraestructura de red de una organización para aplicar control de acceso, segmentación y protección consistente de dispositivos, aplicaciones y usuarios.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración fortigate-oci-arch.png

Para cada flujo de tráfico, asegúrese de que las políticas de seguridad, las traducciones de direcciones de red (NAT) y las rutas estén presentes en FortiGate Firewalls.

• Tráfico entrante de Norte-Sur

  El siguiente diagrama ilustra cómo el tráfico de entrada norte-sur accede al nivel de aplicación web desde Internet y desde centros de datos remotos.

  
  Descripción de la ilustración fort-oci-ns-inbound.png

• Tráfico saliente de North-south

  El siguiente diagrama ilustra cómo las conexiones salientes de la aplicación web y los niveles de base de datos a Internet proporcionan actualizaciones de software y acceso a servicios web externos.

  
  Descripción de la ilustración fort-oci-ns-outbound.png

• Tráfico este-oeste (de web a base de datos)

  En el siguiente diagrama se muestra cómo se mueve el tráfico de la aplicación web al nivel de base de datos.

  
  Descripción de la ilustración fort-oci-ew-w2db.png

• Tráfico este-oeste (de base de datos a web)

  El siguiente diagrama ilustra cómo se mueve el tráfico del nivel de base de datos a la aplicación web.

  
  Descripción de la ilustración fort-oci-ew-db2w.png

• Tráfico este-oeste (aplicación web a Oracle Services Network)

  En el siguiente diagrama se muestra cómo se mueve el tráfico de la aplicación web a Oracle Services Network.

  
  Descripción de la ilustración fort-oci-ew-w2osn.png

• Tráfico este-oeste (Oracle Services Network to Web Application)

  En el siguiente diagrama se muestra cómo se mueve el tráfico de Oracle Services Network a la aplicación web.

  
  Descripción de la ilustración fort-oci-ew-osn2w.png

La arquitectura tiene los siguientes componentes:

• Fortinet FortiGate Firewall de última generación

  Proporciona servicios de red y seguridad, como protección frente a amenazas, inspección SSL y latencia ultrabaja, para proteger segmentos internos y entornos esenciales. Admite la virtualización de E/S de raíz única directa (SR-IOV) para mejorar el rendimiento. FortiGate se puede desplegar directamente desde Oracle Cloud Marketplace.

• Fortinet FortiManager

  Proporciona una gestión de un único panel en toda la red y proporciona vistas históricas y en tiempo real sobre la actividad de la red.

• Nivel de aplicación de Oracle E-Business Suite o PeopleSoft

  Compuesto por los servidores de aplicaciones de Oracle E-Business Suite o PeopleSoft y el sistema de archivos.

• Nivel de base de datos de Oracle E-Business Suite o PeopleSoft

  Compuesto por el servicio de Oracle Database, pero no limitado a Oracle Exadata Database Cloud o a Oracle Database.

• Región

  Una región de OCI es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e incluso continentes).

• Dominio de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como alimentación o refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad es poco probable que afecte a los otros dominios de disponibilidad de la región.

• Dominio de errores

  Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con alimentación y hardware independientes. Cuando distribuye recursos en varios dominios de errores, las aplicaciones pueden tolerar fallos del servidor físico, mantenimiento del sistema y fallos de alimentación dentro de un dominio de errores.

• Red virtual en la nube (VCN) y subred

  Una VCN es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las redes del centro de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR no solapados que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango de direcciones contiguas que no se solapan con las otras subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• VCN de hub

  La VCN de hub es una red centralizada en la que se despliegan las instancias de firewall FortiGate de Fortinet. Proporciona conectividad segura a todas las VCN radiales, servicios de OCI, puntos finales y clientes públicos, y redes del centro de datos local.

• El nivel de aplicación ha hablado de VCN

  La capa de aplicación incluye una subred privada para alojar componentes de Oracle E-Business Suite o PeopleSoft.

• El nivel de base de datos ha hablado de VCN

  La capa de base de datos incluye una subred privada para alojar bases de datos Oracle.

• Equilibrador de carga

  El servicio de equilibrio de carga de OCI proporciona una distribución de tráfico automatizada desde un único punto de entrada a varios servidores del backend.

• Lista de seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Tabla de ruta
  Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes a destinos fuera de una VCN, normalmente a través de gateways. En la VCN de hub, tiene las siguientes tablas de rutas:

  • Tabla de rutas de gestión asociada a la subred de gestión, que tiene una ruta predeterminada conectada al gateway de Internet
  • Anule la confianza de la tabla de rutas asociada a la subred de desconexión o a la VCN por defecto para enrutar el tráfico de la VCN de hub a destinos de Internet o locales. Esta tabla de rutas también tiene entradas para cada ruta de bloque CIDR de las VCN radiales a través de gateways de enrutamiento dinámico.
  • Confiar en la tabla de rutas asociada a la subred de confianza que apunta al bloque CIDR de las VCN radiales mediante gateways de enrutamiento dinámico
  • Tabla de rutas de alta disponibilidad asociada a la subred de alta disponibilidad al bloque CIDR donde desea enviar el tráfico
  • La tabla de rutas de entrada de VCN de hub está asociada a la asociación de VCN de hub para enviar cualquier tráfico entrante desde las VCN radiales a través del gateway de enrutamiento dinámico a la IP flotante de la interfaz de confianza del firewall FortiGate
  • Para cada radio conectado al hub mediante gateways de enrutamiento dinámico, se define una tabla de rutas distinta y se conecta a una subred asociada. Esta tabla de rutas reenvía todo el tráfico (0.0.0.0/0) desde la VCN radial asociada a los gateways de enrutamiento dinámico a través de la IP flotante de la interfaz de confianza del firewall FortiGate.
  • Tabla de rutas de gateway de servicio de Oracle asociada al gateway de servicio de Oracle para la comunicación de red de Oracle Service. Esa ruta reenvía todo el tráfico (0.0.0.0/0) a la IP flotante de la interfaz de confianza del firewall FortiGate.

  Para mantener la simetría de tráfico, también se agregan rutas a cada firewall FortiGate para que apunte el bloque CIDR del tráfico de la VCN radial a la IP de gateway por defecto de la subred de confianza (primera IP de la subred de confianza en la VCN de hub) y el bloque CIDR por defecto (0.0.0.0/0) para que apunte a la IP de gateway por defecto de la subred de desconfianza (primera IP de la subred de desconfianza en la VCN de hub).
• Gateway de internet

  El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• Gateway de NAT

  El gateway de NAT permite que los recursos privados de una VCN accedan a los hosts de Internet, sin exponer dichos recursos a las conexiones de Internet entrantes.

• Gateway de enrutamiento dinámico (DRG)

  El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre una VCN y una red fuera de la región, como una VCN en otra región de OCI, una red local o una red en otro proveedor de nube.

• Gateway de servicio

  El gateway de servicio proporciona acceso desde una VCN a otros servicios, como OCI Object Storage. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no internet.

• FastConnect

  OCI FastConnect ofrece una forma sencilla de crear una conexión privada dedicada entre su centro de datos y OCI. FastConnect ofrece opciones de ancho de banda superior y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

• Tarjeta de interfaz de red virtual (VNIC)

  Los servicios de los centros de datos de OCI tienen tarjetas de interfaz de red (NIC) física. Las instancias de máquina virtual (VM) se comunican mediante NIC virtuales (VNIC) asociadas con las NIC físicas. Cada instancia tiene una VNIC principal que se crea y se asocia automáticamente durante el inicio y que está disponible durante el tiempo de vida de la instancia. DHCP se ofrece solo a la VNIC principal. Puede agregar VNIC secundarias después del inicio de la instancia. Configure IP estáticas para cada interfaz.

• IP privadas

  Dirección de IPv4 privada e información relacionada para tratar una instancia. Cada VNIC tiene una IP privada principal, y puede agregar y eliminar IP privadas secundarias. La dirección IP privada principal de una instancia se asocia durante el inicio de la instancia y no cambia durante el tiempo de vida de la instancia. Las IP secundarias también pertenecen al mismo CIDR de la subred de la VNIC. La IP secundaria se utiliza como IP flotante porque se puede mover entre diferentes VNIC en diferentes instancias dentro de la misma subred. También puede utilizarlo como un punto final diferente para alojar diferentes servicios.

• IP Públicas

  Los servicios de red definen una dirección IPv4 pública elegida por Oracle y asignada a una IP privada. Las IP públicas tienen los siguientes tipos: efímero: esta dirección es temporal y existe durante el tiempo de vida de la instancia. Reservado: esta dirección persiste más allá de la duración de la instancia. Se puede anular la asignación y reasignarla a otra instancia.

• Comprobación de origen y destino

  Cada VNIC realiza la comprobación de origen y destino en su tráfico de red. La desactivación de este indicador permite que los firewalls FortiGate de Fortinet gestionen el tráfico de red que no está dirigido al firewall.

• Forma de cálculo

  La unidad de una instancia informática especifica el número de CPU y la cantidad de memoria asignada a la instancia. La unidad de computación también determina el número de VNIC y el ancho de banda máximo disponibles para la instancia informática.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para proteger las cargas de trabajo de Oracle E-Business Suite o PeopleSoft en OCI mediante el firewall FortiGate de Fortinet. Los requisitos pueden ser diferentes de la arquitectura que se describe aquí.

• VCN

  Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque según el número de recursos que planea asociar a subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

  Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.

  Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques de CIDR.

  Al diseñar las subredes, tenga en cuenta los requisitos de flujo de tráfico y seguridad. Conecte todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

  Utilizar subredes regionales. Conecte las VCN del radio según sea necesario para poder enviar tráfico a los firewalls FortiGate de la VCN de hub. Defina las tablas de rutas de firewall de origen y destino en cada asociación de VCN de gateways de enrutamiento dinámico.

• Firewall Fortinet FortiGate
  • Despliegue un cluster activo-pasivo y, si es necesario, agregue más instancias.
  • Siempre que sea posible, despliegue en dominios de errores distintos en dominios de disponibilidad como mínimo o diferentes.
  • Asegúrese de que la MTU esté establecida en 9000 en todas las VNIC.
  • Utilice interfaces de E/S de función virtual (VFIO).
• Fortinet FortiGate Firewall Management
  • Si está creando un despliegue alojado en OCI, cree una subred dedicada para la gestión.
  • Utilice listas de seguridad o NSG para restringir el acceso entrante a los puertos 443 y 22 procedentes de Internet para la administración de la política de seguridad y para ver logs y eventos.
• Políticas de Firewall

  Para obtener la información más actualizada sobre las políticas de seguridad, los puertos y los protocolos necesarios, consulte la documentación del firewall en la sección Explorar más. Mantenerse actualizado garantiza que ha configurado las políticas de traducción de direcciones de red/políticas de seguridad necesarias activadas en instancias de firewall FortiGate de Fortinet.

Consideraciones

Al proteger las cargas de trabajo de Oracle E-Business Suite o PeopleSoft en OCI mediante Fortinet FortiGate Firewall, tenga en cuenta los siguientes factores:

• Rendimiento
  • La selección del tamaño de instancia adecuado, determinado por la unidad de computación, determina el rendimiento máximo disponible, la CPU, la RAM y el número de interfaces.
  • Las organizaciones necesitan saber qué tipos de tráfico atraviesa el entorno, determinar los niveles de riesgo adecuados y aplicar los controles de seguridad adecuados según sea necesario. El rendimiento afecta a diferentes combinaciones de controles de seguridad activados.
  • Considere la posibilidad de agregar interfaces dedicadas para servicios FastConnect o VPN. Considere el uso de grandes unidades de computación para un mayor rendimiento y acceso a más interfaces de red.
  • Ejecutar pruebas de rendimiento para validar el diseño puede mantener el rendimiento y el rendimiento necesarios.
• Seguridad

  El despliegue de Fortinet FortiManager en OCI permite la configuración y supervisión centralizadas de políticas de seguridad de todos los firewalls FortiGate físicos y virtuales de Fortinet.

• Disponibilidad

  Despliegue su arquitectura en distintas regiones geográficas para una mayor redundancia. Configure VPN de sitio a sitio con redes organizativas relevantes para una conectividad redundante con redes locales.

• Costo

  Fortinet FortiGate ofrece listas de pago por consumo o de licencia (BYOL) propia en Oracle Cloud Marketplace, y FortiManager está disponible en listas de BYOL en Oracle Cloud Marketplace.

Desplegar

Puede desplegar el firewall FortiGate en OCI mediante Oracle Cloud Marketplace. También puede descargar el código de GitHub y personalizarlo para adaptarlo a los requisitos de negocio específicos para desplegar esta arquitectura. Oracle recomienda desplegar la arquitectura desde Oracle Cloud Marketplace.También puede descargar el código desde GitHub y personalizarlo para adaptarlo a los requisitos de negocio específicos.

• Despliegue mediante la pila en Oracle Cloud Marketplace:
  1. Configure la infraestructura de red necesaria como se muestra en el diagrama de arquitectura.
  2. Despliegue la aplicación (Oracle E-Business Suite o PeopleSoft) en su entorno.
  3. Oracle Cloud Marketplace incluye varias listas para diferentes configuraciones y requisitos de licencia. Por ejemplo, la siguiente característica de listas proporciona su propia licencia (BYOL). Para cada lista que elija, haga clic en Obtener aplicación y siga las indicaciones de la pantalla:
     • Listas de Fortinet FortiGate BYOL
     • FortiManager Gestión de seguridad centralizada (BYOL)
     • Listados de Fortinet Marketplace
• Realice el despliegue con el código de Terraform en GitHub:
  1. Vaya a GitHub.
  2. Clone o descargue el repositorio en su equipo local.
  3. Siga las instrucciones del documento README.

Explorar más

Obtenga más información sobre el uso de FortiGate con Oracle Cloud Infrastructure.

Materiales de referencia de Oracle Cloud Infrastructure:

• Marco de mejores prácticas para Oracle Cloud Infrastructure
• Visión general de la seguridad de Oracle Cloud Infrastructure
• Obtenga más información sobre el despliegue de Oracle E-Business Suite en Oracle Cloud Infrastructure
• Obtenga más información sobre el despliegue de PeopleSoft en Oracle Cloud Infrastructure
• Obtener más información sobre el uso del gateway de enrutamiento dinámico para dirigir el tráfico al firewall
• Despliegue FortiGate Firewalls y proteja sus cargas de trabajo en el taller de OCI

Materiales de referencia de Fortinet FortiGate:

• Guía de administración de Oracle Cloud Infrastructure de FortiGate
• Protección de Oracle PeopleSoft Suite con Fortinet Security Fabric
• Fortinet FortiGate - Arquitectura Hub y Spoke