Proteja las cargas de trabajo con Cisco Threat Defense mediante un equilibrador de carga de red flexible.

La virtual de defensa contra amenazas de firewall seguro traslada las funcionalidades de firewall de última generación de Cisco a entornos virtualizados, lo que permite políticas de seguridad consistentes para seguir las cargas de trabajo en sus entornos físicos, virtuales y en la nube, así como entre nubes.

Cisco Secure Firewall soporta la plataforma Oracle Cloud Infrastructure (OCI) para implementar sus funciones de seguridad de última generación, como visibilidad y control de aplicaciones, sistema de prevención de intrusiones, protección avanzada contra malware, filtrado de URL y red privada virtual. También puede activar la fuente de información de seguridad proporcionada por el equipo de investigación de información sobre amenazas de Cisco Talos.

Arquitectura

Esta arquitectura de referencia ilustra cómo las organizaciones pueden proteger las aplicaciones de Oracle, como Oracle E-Business Suite y PeopleSoft, desplegadas en Oracle Cloud Infrastructure (OCI) mediante el uso del firewall de defensa de amenazas de Cisco con un equilibrador de carga de red flexible y mejoras de gateways de enrutamiento dinámico.

Para proteger estos flujos de tráfico, Oracle recomienda segmentar la red mediante una red virtual en la nube (VCN) dedicada, en la que el tráfico se enruta a través de un hub de tránsito y se conecta a varias redes distintas (cortes). Asegúrese de haber desplegado varias instancias de defensa de amenazas entre equilibradores de carga de red flexibles considerados como una topología de sándwich. Todo el tráfico, ya sea a Internet o desde una ubicación local o a Oracle Services Network, se dirige a través de las tecnologías de prevención de amenazas multicapa de Cisco Secure Firewall.

Despliegue cada nivel de la aplicación en su propia red virtual en la nube (VCN), que actúa como un radio. La VCN de hub contiene un cluster activo-activo de firewall de defensa de amenazas de Cisco, gateway de Internet de Oracle, gateway de direccionamiento dinámico (DRG), gateway de Oracle Service y equilibradores de carga de red flexibles internos y externos.

La VCN de hub se conecta a las VCN radiales a través de DRG. Todo el tráfico radial utiliza reglas de tabla de rutas para enrutar el tráfico mediante DRG al hub mediante un equilibrador de carga de red flexible para la inspección del cluster de firewall de defensa ante amenazas de Cisco.

En una implementación de Cisco Secure Firewall, se utiliza un centro de gestión de firewall seguro para gestionar la defensa de amenazas. Un centro de gestión proporciona una gestión completa y unificada sobre la defensa frente a amenazas. Pase fácilmente de gestionar un firewall a controlar las aplicaciones a investigar y solucionar brotes de malware.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración cisco_nlb_nw_vm_oci.png

Cada flujo de tráfico garantiza que la traducción de direcciones de red (NAT) y las políticas de seguridad estén abiertas en Cisco Threat Defense Firewall.

Tráfico entrante de Norte-Sur

El siguiente diagrama ilustra cómo el tráfico entrante norte-sur accede al nivel de aplicación web desde Internet y desde centros de datos remotos.

Descripción de la ilustración cisco_nlb_north_south_inbound.png

Tráfico saliente de North-south

El siguiente diagrama ilustra cómo las conexiones salientes de la aplicación web y los niveles de base de datos a Internet proporcionan actualizaciones de software y acceso a servicios web externos.

Descripción de la ilustración cisco_nlb_north_south_outbound.png

Tráfico este-oeste (de web a base de datos)

El siguiente diagrama ilustra cómo se mueve el tráfico de la aplicación web al nivel de base de datos.

Descripción de la ilustración cisco_nlb_east_west_web_db.png

Tráfico este-oeste (base de datos a la web)

El siguiente diagrama ilustra cómo se mueve el tráfico del nivel de base de datos a la aplicación web.

Descripción de la ilustración cisco_nlb_east_west_db_web.png

Tráfico este-oeste (aplicación web a Oracle Services Network)

En el siguiente diagrama se muestra cómo se mueve el tráfico de la aplicación web a Oracle Services Network.

Descripción de la ilustración cisco_nlb_east_west_webapp_osn.png

Tráfico este-oeste (Oracle Services Network a la aplicación web)

En el siguiente diagrama se muestra cómo se mueve el tráfico de Oracle Services Network a la aplicación web.

Descripción de la ilustración cisco_nlb_east_west_osn_webapp.png

Las arquitecturas tienen los siguientes componentes:

• Cisco Secure Firewall Threat Defense Virtual

  Cisco Secure Firewall Threat Defense Virtual ofrece las mismas funcionalidades de un firewall físico en un formato de máquina virtual (VM), que ofrece seguridad de red en línea y prevención de amenazas para proteger las nubes públicas y privadas de forma consistente.

• Nivel de aplicación de Oracle E-Business Suite o PeopleSoft

  Compuesto por los servidores de aplicaciones y el sistema de archivos de Oracle E-Business Suite o PeopleSoft.

• Nivel de base de datos de Oracle E-Business Suite o PeopleSoft

  Compuesto por Oracle Database, pero no limitado a servicios de Oracle Exadata Database Cloud u Oracle Database.

• Región

  Una región de OCI es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e incluso continentes).

• Undominio de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como alimentación o refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, es improbable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.

• Dominio de errores

  Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con alimentación y hardware independientes. Cuando distribuye recursos en varios dominios de errores, las aplicaciones pueden tolerar fallos del servidor físico, mantenimiento del sistema y fallos de alimentación dentro de un dominio de errores.

• Red virtual en la nube (VCN) y subred

  Una VCN es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las redes del centro de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR no solapados que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango de direcciones contiguas que no se solapan con las otras subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• VCN de hub

  La VCN de hub es una red centralizada en la que se despliegan los firewalls de defensa de amenazas de Cisco. Proporciona conectividad segura a todas las VCN radiales, servicios de OCI, puntos finales y clientes públicos, y redes del centro de datos local.

• La capa de aplicación ha hablado de VCN

  La capa de aplicación incluye una subred privada para alojar componentes de Oracle E-Business Suite o PeopleSoft.

• El nivel de base de datos ha hablado de VCN

  La capa de base de datos incluye una subred privada para alojar bases de datos Oracle.

• Equilibrador de carga

  El servicio de equilibrio de carga de OCI proporciona una distribución de tráfico automatizada desde un punto de entrada único a varios servidores del backend.

• Equilibrador de carga de red flexible

  El equilibrador de carga de red flexible de OCI proporciona una distribución de tráfico automatizada de un punto de entrada a varios servidores backend de sus redes virtuales en la nube. Funciona a nivel de conexión y equilibradores de carga de conexiones de cliente entrantes a servidores backend en buen estado basados en datos Layer3/Layer4 (protocolo IP).

• Lista de seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Tabla de ruta

  Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes a destinos fuera de una VCN, normalmente a través de gateways. En la VCN de hub, tiene las siguientes tablas de rutas:

  • Tabla de rutas de gestión asociada a la subred de gestión que tiene una ruta predeterminada conectada al gateway de Internet.
  • Tabla de rutas externas conectada a la subred externa o la VCN por defecto para enrutar el tráfico de la VCN de hub a destinos de Internet o locales.
    • Esta tabla de rutas también tiene una entrada que apunta a las subredes locales mediante el gateway de ruta dinámica. Esta configuración garantiza que no se produzcan interrupciones de tráfico durante el soporte de traducción de direcciones de red nativas futuras.
    • Esta tabla de rutas también tiene entradas para cada ruta de bloque CIDR de las VCN de Spoke mediante gateways de enrutamiento dinámico.
  • Dentro de la tabla de rutas asociada a la subred interna que apunta al bloque CIDR de las VCN radiales mediante gateways de enrutamiento dinámico.
  • Tabla de rutas de diagnóstico asociada a la subred de diagnóstico al bloque CIDR donde desea enviar el tráfico.
  • Tabla de rutas de NLB asociada a la subred de nlb que apunta al bloque CIDR de la subred local mediante gateways de enrutamiento dinámico.
  • La tabla de rutas de entrada de VCN de hub está asociada a la asociación de VCN de hub para enviar cualquier tráfico entrante desde las VCN radiales a través del gateway de direccionamiento dinámico al equilibrador de carga de red interno.
  • Para cada radio conectado al hub mediante gateways de enrutamiento dinámico, se define una tabla de rutas distinta y se conecta a una subred asociada. Esta tabla de rutas reenvía todo el tráfico (0.0.0.0/0) de la VCN radial asociada a los gateways de enrutamiento dinámico a través del equilibrador de carga de red flexible interno o también puede definirlo a nivel granular.
  • Tabla de rutas de gateway de servicio de Oracle asociada al gateway de servicio de Oracle para la comunicación de red de Oracle Service. Esa ruta reenvía todo el tráfico (0.0.0.0/0) al firewall de defensa de amenazas de Cisco dentro de las IP de interfaz.
  • Para mantener la simetría de tráfico, también se agregan rutas a cada firewall de defensa de amenazas de Cisco para que apunte al bloque CIDR del tráfico de radio a la IP de gateway por defecto de la subred (interna) (IP de gateway por defecto disponible en la subred interna de la VCN de hub) y al bloque CIDR por defecto (0.0.0.0/0) que apunta a la IP de gateway por defecto de la subred externa.
• Gateway de internet

  El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• Gateway de NAT

  El gateway de NAT permite que los recursos privados de una VCN accedan a los hosts de Internet, sin exponer dichos recursos a las conexiones de Internet entrantes.

• Gateway de enrutamiento dinámico (DRG)

  El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre una VCN y una red fuera de la región, como una VCN en otra región de OCI, una red local o una red en otro proveedor de nube.

• Gateway de servicio

  El gateway de servicio proporciona acceso desde una VCN a otros servicios, como OCI Object Storage. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no internet.

• FastConnect

  OCI FastConnect ofrece una forma sencilla de crear una conexión privada dedicada entre su centro de datos y OCI. FastConnect ofrece opciones de ancho de banda superior y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

• Tarjeta de interfaz de red virtual (VNIC)

  Los servicios de los centros de datos de OCI tienen tarjetas de interfaz de red (NIC) física. Las instancias de VM se comunican mediante NIC virtuales (VNIC) asociadas con las NIC físicas. Cada instancia tiene una VNIC principal que se crea y se asocia automáticamente durante el inicio y que está disponible durante el tiempo de vida de la instancia. DHCP sólo se ofrece a la VNIC principal. Puede agregar VNIC secundarias después del inicio de la instancia. Configure IP estáticas para cada interfaz.

• IP privadas

  Dirección de IPv4 privada e información relacionada para tratar una instancia. Cada VNIC tiene una IP privada principal, y puede agregar y eliminar IP privadas secundarias. La dirección IP privada principal de una instancia se asocia durante el inicio de la instancia y no cambia durante el tiempo de vida de la instancia. Las IP secundarias también pertenecen al mismo CIDR de la subred de la VNIC. La IP secundaria se utiliza como IP flotante porque se puede mover entre diferentes VNIC en diferentes instancias dentro de la misma subred. También puede utilizarlo como un punto final diferente para alojar diferentes servicios.

• IP Públicas

  Los servicios de red definen una dirección IPv4 pública elegida por Oracle y asignada a una IP privada. Las IP públicas tienen los siguientes tipos:

  • Efímera: esta dirección es temporal y existe durante el tiempo que dura la instancia.
  • Reservado: esta dirección persiste más allá de la duración de la instancia. Se puede anular la asignación y reasignarla a otra instancia.
• Comprobación de origen y destino

  Cada VNIC realiza la comprobación de origen y destino en su tráfico de red. La desactivación de este indicador permite que el firewall de defensa de amenazas de Cisco maneje el tráfico de red no dirigido al firewall.

• Forma de cálculo

  La unidad de una instancia informática especifica el número de CPU y la cantidad de memoria asignada a la instancia. La unidad de computación también determina el número de VNIC y el ancho de banda máximo disponibles para la instancia informática.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para proteger las cargas de trabajo de Oracle E-Business Suite o PeopleSoft en OCI mediante firewalls de defensa de amenazas Cisco.

• VCN

  Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque según el número de recursos que planea asociar a subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

  Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.

  Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques de CIDR.

  Al diseñar las subredes, tenga en cuenta los requisitos de flujo de tráfico y seguridad. Conecte todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

  Utilizar subredes regionales.

  Conecte las VCN de radio según sea necesario para poder enviar tráfico al firewall de defensa de amenazas de Cisco de VCN de hub. Defina las tablas de rutas de firewall de origen y destino en cada asociación de VCN de gateways de enrutamiento dinámico.

• Cisco Firewall Management Center
  • Al elegir un modelo de centro de gestión, considere el número de dispositivos de defensa contra amenazas que gestiona.
  • Calcule el volumen de registros que genera el dispositivo de defensa contra amenazas al mismo tiempo y asegúrese de que el centro de gestión esté diseñado para manejar ese volumen.
  • Para determinar el modelo adecuado para su despliegue, consulte la hoja de datos.
• Firewall Cisco Secure Threat Defense
  • Una defensa contra amenazas requiere un mínimo de cuatro interfaces.
  • Despliegue un cluster activo-activo y, si es necesario, agregue más instancias.
  • Seleccione una unidad de OCI adecuada. Una unidad es una plantilla que determina el número de CPU, la cantidad de memoria y otros recursos asignados a una instancia. FTDv soporta los siguientes tipos de unidades de OCI:

    Unidad de OCI	OCPU*	RAM	Interfaces
    VM.Standard2.4	4	60 GB	Mín. 4, máx. 4
    VM.Standard2.8	8	120 GB	Mín. 4, Máx. 8

    *En OCI, 1 oCPU es igual a 2 vCPU.
• Conectividad de firewall
  • Un centro de gestión de firewall seguro y una defensa ante amenazas utilizan el puerto TCP 8305 para comunicarse entre sí. Asegúrese de que el puerto esté abierto para la comunicación de gestión interna.
  • Si está creando un despliegue alojado en OCI, cree una subred dedicada para la gestión.
  • Utilice listas de seguridad o NSG para restringir el acceso entrante a los puertos 443 (para el acceso a la GUI) y 22 (para el acceso a la CLI) obtenidos desde Internet para la administración de la política de seguridad y para ver logs y eventos.
  • De manera predeterminada, los dispositivos de alimentación de incendios están configurados para conectarse a Internet en los puertos 443/tcp (HTTPS) y 80/tcp (HTTP). Si no desea que sus dispositivos tengan acceso directo a Internet, puede configurar un servidor proxy.
• Políticas de firewall

  Para obtener la información más actualizada sobre las políticas de seguridad, los puertos y los protocolos necesarios, consulte la documentación del firewall en la sección Explorar más. Mantenerse actualizado garantiza que haya configurado las políticas de traducción de direcciones de red necesarias activadas en las instancias de firewall de defensa de amenazas de Cisco.

Consideraciones

Al proteger las cargas de trabajo de Oracle E-Business Suite o PeopleSoft en OCI mediante el firewall de Cisco Threat Defense, tenga en cuenta los siguientes factores:

• Rendimiento
  • La selección del tamaño de instancia adecuado, determinado por la unidad de computación, determina el rendimiento máximo disponible, la CPU, la RAM y el número de interfaces.
  • Las organizaciones necesitan saber qué tipos de tráfico atraviesa el entorno, determinar los niveles de riesgo adecuados y aplicar los controles de seguridad adecuados según sea necesario. El rendimiento afecta a diferentes combinaciones de controles de seguridad activados.
  • Considere la posibilidad de agregar interfaces dedicadas para servicios FastConnect o VPN.
  • Considere el uso de grandes unidades de computación para un mayor rendimiento y acceso a más interfaces de red.
  • Ejecutar pruebas de rendimiento para validar el diseño puede mantener el rendimiento y el rendimiento necesarios.
  • Utilice estas métricas como directriz:

    Métrica	FTDv5	FTDv10	FTDv20/30	FTDv50/100
    Tipos de formas de OCI	VM.Standard2.4	VM.Standard2.4	VM.Standard2.4	VM.Standard2.4
    Rendimiento: FW + AVC (1024B)	100 Mbps	1 Gbps	1,2 Gbps	2,4 Gbps
    Rendimiento: FW + AVC + IPS (1024B)	100 Mbps	1 Gbps	1,2 Gbps	2,4 Gbps
    Rendimiento: FW + AVC (450B)	100 Mbps	410 Mbps	410 Mbps	920 Mbps
    Rendimiento: FW + AVC + IPS (450B)	100 Mbps	390 Mbps	390 Mbps	910 Mbps
    Máximo de Sesiones Simultáneas	250,000	250,000	250,000	2M
    Máximo de nuevas sesiones por segundo	4900	4900	4900	10.000
    Máximo de iguales VPN	250	250	250	10.000
    Rendimiento de VPN con IPSec (1024B) TCP con Fastpath)	100 Mbps	1 Gbps	1,2 Gbps	1.5 Gbps

    Para comprender mejor estos números de rendimiento, consulte "Cisco Threat Defense Datasheet", al que se hace referencia en el tema Explorar más de esta arquitectura de referencia.
• Seguridad

  La implementación de Cisco Firepower Management Center en OCI permite una configuración y un control centralizados de las políticas de seguridad en todos los firewalls físicos y virtuales de defensa ante amenazas de Cisco

• Disponibilidad
  • Despliegue su arquitectura en distintas regiones geográficas para una mayor redundancia.
  • Configure VPN de sitio a sitio con redes organizativas relevantes para una conectividad redundante con redes locales.
• Costo

  Los firewalls Cisco Threat Defense y Cisco Firepower Management Center están disponibles en Tra-your-own-license (BYOL). Configure todos los derechos de licencia para los servicios de seguridad desde Firepower Management Center. Para obtener más información sobre cómo gestionar licencias, consulte Licensing the Firepower System en la guía de configuración de Firepower Management Center.

Desplegar

Puede desplegar el firewall de defensa de amenazas en Oracle Cloud Infrastructure mediante Oracle Cloud Marketplace. También puede descargar el código de GitHub y personalizarlo para que se ajuste a sus requisitos de negocio específicos.Oracle recomienda desplegar la arquitectura desde Oracle Cloud Marketplace.

• Despliegue mediante la pila en Oracle Cloud Marketplace:
  1. Configure la infraestructura de red necesaria como se muestra en el diagrama de arquitectura.
  2. Despliegue la aplicación (Oracle E-Business Suite o PeopleSoft) en su entorno.
  3. Oracle Cloud Marketplace incluye varios listados para diferentes configuraciones y requisitos de licencia. Por ejemplo, la siguiente característica de listas proporciona su propia licencia (BYOL). Para cada lista que elija, haga clic en Obtener aplicación y siga las indicaciones de la pantalla:
     • Firewall de defensa contra amenazas Cisco
     • Cisco Firepower Management Center
     • Listas de Cisco Marketplace
• Realice el despliegue con el código de Terraform en GitHub:
  1. Vaya al repositorio de GitHub.
  2. Clone o descargue el repositorio en su equipo local.
  3. Siga las instrucciones del documento README.

Explorar más

Obtenga más información sobre las funciones de esta arquitectura y los recursos relacionados.

Materiales de referencia de Oracle Cloud Infrastructure:

• Marco de mejores prácticas para Oracle Cloud Infrastructure
• Guía de seguridad de Oracle Cloud Infrastructure
• Obtenga más información sobre el despliegue de Oracle E-Business Suite en Oracle Cloud Infrastructure
• Obtenga más información sobre el despliegue de PeopleSoft en Oracle Cloud Infrastructure
• Obtener más información sobre el despliegue del equilibrador de carga de red flexible

Materiales de referencia de Cisco Secure Firewall:

• Guía de compatibilidad de Cisco Firepower
• Cisco Network Security Ordering Guide
• Puertos de comunicaciones necesarios de firewall seguro
• Guía de defensa de amenazas de Cisco en Oracle Cloud Infrastructure
• Hoja de datos de firewall de defensa ante amenazas Cisco