1. Concevoir la sécurité réseau CloudGuard pour Oracle Cloud Infrastructure et sécuriser vos charges de travail
  2. Concevoir la sécurité réseau CloudGuard pour Oracle Cloud Infrastructure et sécuriser vos charges de travail

Concevoir la sécurité réseau CloudGuard pour Oracle Cloud Infrastructure et sécuriser vos charges de travail

Déplacez ou étendez toutes les charges de travail des applications, telles qu'Oracle E-Business Suite ou PeopleSoft, dans le cloud à l'aide de la sécurité réseau Check Point CloudGuard pour augmenter les options de sécurité natives sans modification importante de la configuration, de l'intégration ou des processus métier.

La sécurité dans le Cloud repose sur un modèle de responsabilité partagée. Oracle est responsable de la sécurité de l’infrastructure sous-jacente, notamment des installations de centre de données, du matériel et des logiciels permettant de gérer les opérations et services cloud. Les clients sont chargés de sécuriser leurs charges de travail et de configurer leurs services et applications en toute sécurité afin de respecter leurs obligations de conformité.

Oracle Cloud Infrastructure (OCI) offre des processus opérationnels et des technologies de sécurité de pointe pour sécuriser ses services Cloud d’entreprise. Check Point CloudGuard Network Security for OCI offre une sécurité multicouche avancée pour protéger les applications contre les attaques, tout en permettant une connectivité sécurisée à partir des réseaux cloud hybrides et d'entreprise. Ensemble, ils protègent les applications dans les centres de données sur site et les environnements cloud, fournissant des performances évolutives et une orchestration de sécurité avancée et une protection unifiée contre les menaces.

Les contrôles de sécurité incluent les fonctionnalités suivantes :
  • Contrôles d'accès (pare-feu)
  • Journalisation
  • Contrôle d'application
  • Filtrage d'URL
  • Prévention des intrusions (IPS)
  • Prévention avancée des menaces (protection anti-virus, anti-bot, SandBlast zéro jour)
  • Réseau privé virtuel site à site (VPN) pour la communication avec le réseau sur site
  • VPN d’accès à distance pour la communication avec les utilisateurs itinérants
  • Traduction d'adresse réseau pour le trafic Internet

Architecture

Cette architecture de référence illustre la manière dont les organisations peuvent protéger les applications Oracle, telles qu'Oracle E-Business Suite, PeopleSoft et d'autres applications déployées dans OCI à l'aide de la sécurité réseau CloudGuard de Check Point avec un équilibreur de charge réseau flexible.

Pour protéger ces flux de trafic, Check Point recommande de segmenter le réseau à l'aide d'une conception par satellite et hub nord et sud :
  • Le hub nord protège les ressources accessibles au public du trafic entrant malveillant. Le hub nord utilise l'équilibreur de charge réseau flexible Oracle qui permet aux organisations de créer un ensemble évolutif de passerelles de sécurité réseau CloudGuard pouvant être dimensionnées de manière appropriée en fonction des exigences de débit.
  • Le hub sud protège le trafic entre les porte-parole, le trafic Internet, le trafic vers Oracle Services Network et le trafic vers ou depuis les réseaux sur site. Nous recommandons que le hub sud contient un cluster hautement disponible de passerelles de sécurité réseau CloudGuard, de sorte que le basculement avec état peut se produire pour le trafic sensible à l'interruption.
  • Déployez chaque niveau de votre application dans son propre réseau cloud virtuel (VCN), qui fait office de réseau satellite. Cette séparation permet un contrôle granulaire du trafic entre rayons.
  • Le VCN du hub nord connecte le trafic entrant depuis Internet aux différents réseaux cloud virtuels satellite via un équilibreur de charge réseau flexible et une passerelle de routage dynamique (DRG).
  • Le VCN du hub sud se connecte aux réseaux cloud virtuels satellite via le DRG. L'ensemble du trafic sortant et du trafic entre les rayons utilise des règles de table de routage pour acheminer le trafic via le DRG vers le hub sud à des fins d'inspection par le cluster CloudGuard Network Security.
  • Utilisez l'une des méthodes suivantes pour gérer l'environnement :
    • Gérer l'environnement de manière centralisée à l'aide d'un serveur de gestion Check Point Security ou d'un serveur de gestion multidomaine, déployé dans son propre sous-réseau dans le VCN du hub nord ou en tant que déploiement client préexistant accessible aux passerelles de sécurité.
    • Gérez l'environnement de manière centralisée à partir du point de contrôle Smart-1 Cloud management-as-a-service.

Le diagramme suivant illustre cette architecture de référence.

Description de l'image cloudguard-net-sec-arch.png
Description de l'illustration cloudguard-net-sec-arch.png

Pour chaque scénario de flux de trafic, assurez-vous que la translation d'adresse réseau (NAT) et les stratégies de sécurité sont configurées sur les passerelles de sécurité réseau CloudGuard. L'exemple d'utilisation d'équilibreur de charge réseau flexible actuellement pris en charge nécessite que vous activiez le NAT source sur les pare-feu à partir desquels le trafic se ferme.

Flux de trafic entrant nord-sud via le hub nord VCN

Le schéma suivant illustre comment le trafic entrant nord-sud accède au niveau de l'application Web à partir d'Internet :

Description de l'image inbound-no-hub-vcn.png
Description de l'illustration inbound-no-hub-vcn.png

Flux de trafic sortant nord-sud via le hub sud VCN

Le schéma suivant illustre comment les connexions sortantes des niveaux application Web et base de données vers Internet fournissent des mises à jour logicielles et un accès à des services Web externes :

Description de l'image outbound-so-hub-vcn.png
Description de l'illustration outbound-so-hub-vcn.png

Flux de trafic East-west (Web vers base de données) circulant dans le hub sud VCN

Le schéma suivant illustre comment le trafic passe de l'application Web au niveau de la base de données :

Description de l'image e-w-w2db-so-hub.png
Description de l'illustration e-w-w2db-so-hub.png

Flux de trafic East-west (base de données vers le Web) via le hub sud VCN

Le schéma suivant illustre comment le trafic passe du niveau de base de données à l'application Web :

Description de l'image e-w-db2w-so-hub.png
Description de l'illustration e-w-db2w-so-hub.png

Flux de trafic East-west (application Web vers Oracle Services Network) via le hub sud VCN

Le schéma suivant illustre le déplacement du trafic de l'application Web vers Oracle Services Network :

Description de l'image e-w-w2osn-so.png
Description de l'illustration e-w-w2osn-so.png

Flux de trafic East-west (Oracle Services Network to Web application) via le hub sud VCN

Le schéma suivant illustre comment le trafic passe d'Oracle Services Network à l'application Web :

Description de l'image e-w-osn2web-so.png
Description de l'illustration e-w-osn2web-so.png

L'architecture comporte les composants suivants :
  • Passerelles de sécurité réseau CloudGuard Check Point

    Assure une prévention des menaces avancée et une sécurité du réseau cloud pour les clouds hybrides.

  • Gestion de la sécurité des points de reprise
    • Serveur de gestion de la sécurité
    • Gestion multidomaine
    • Smart-1 Cloud management-as-a-service
  • Niveau d'application Oracle E-Business Suite ou PeopleSoft

    Composé de serveurs d'applications et de systèmes de fichiers Oracle E-Business Suite ou PeopleSoft.

  • Niveau base de données Oracle E-Business Suite ou PeopleSoft

    Composé d'Oracle Database, sans s'y limiter, avec le service Oracle Exadata Database Cloud ou les services Oracle Database.

  • Région

    Une région OCI est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes d'autres régions et de grandes distances peuvent les séparer (entre les pays voire les continents).

  • Domaine de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure la tolérance de pannes. Les domaines de disponibilité ne partagent ni infrastructure (système d'alimentation ou de refroidissement par exemple), ni réseau interne. Par conséquent, il est improbable qu'un problème affecte les autres domaines de disponibilité de la région.

  • Domaine de pannes

    Un domaine de panne est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous distribuez des ressources entre plusieurs domaines de pannes, vos applications peuvent tolérer les pannes de serveur physique, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.

  • Réseau cloud virtuel (VCN) et sous-réseau

    Un VCN est un réseau personnalisable et défini par logiciel que vous configurez dans une région OCI. Comme les réseaux cloud virtuels traditionnels, vous bénéficiez d'un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • VCN North Hub

    Le hub nord VCN est un réseau centralisé où les passerelles de sécurité réseau Check Point CloudGuard sont déployées. Il fournit une connectivité entrante sécurisée à tous les réseaux cloud virtuels satellite.

  • VCN South Hub

    Le hub sud VCN est un réseau centralisé où les passerelles de sécurité réseau Check Point CloudGuard sont déployées dans un cluster haute disponibilité. Elle fournit une connectivité sécurisée à tous les réseaux cloud virtuels satellite, services OCI, adresses publiques et clients, ainsi qu'aux réseaux de centre de données sur site.

  • VCN parlé au niveau application

    Le VCN par satellite du niveau application contient un sous-réseau privé qui héberge des composants Oracle E-Business Suite ou PeopleSoft.

  • VCN parlé au niveau de la base de données

    Le VCN par satellite du niveau de base de données contient un sous-réseau privé pour l’hébergement de bases de données Oracle.

  • Equilibreur de charge

    Le service OCI Load Balancing fournit une distribution automatisée du trafic d'un point d'entrée unique à plusieurs serveurs dans le back-end.

  • Equilibreur de charge réseau flexible

    L'équilibreur de charge réseau flexible OCI fournit une distribution automatisée du trafic d'un point d'entrée vers plusieurs serveurs back-end dans vos réseaux cloud virtuels. Elle fonctionne au niveau de la connexion et les équilibreurs de charge accèdent aux connexions client entrantes vers les serveurs back-end en bon état en fonction des données Layer3 ou Layer4 (protocole IP).

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés en entrée et en sortie du sous-réseau.

  • Table de routage
    Les tables de routage virtuel contiennent des règles permettant d'acheminer le trafic des sous-réseaux vers des destinations situées en dehors d'un VCN, généralement via des passerelles. Dans le hub nord VCN, vous disposez des tables de routage suivantes :
    • Table de routage de l'équilibreur de charge réseau associée au sous-réseau de l'équilibreur de charge réseau pointant vers le bloc CIDR du sous-réseau sur site via des passerelles de routage dynamique et ayant un routage par défaut pour la connexion à la passerelle Internet.
    • Table de routage frontale associée au sous-réseau frontal, avec une route par défaut connectée à la passerelle Internet pour acheminer le trafic du VCN du hub nord vers des cibles Internet ou on-premise.
    • Table de routage back-end attachée au sous-réseau back-end pointant vers le bloc CIDR des réseaux cloud virtuels satellite via des passerelles de routage dynamique.
    Dans le hub sud VCN, vous disposez des tables de routage suivantes :
    • Table de routage frontale associée au sous-réseau frontal qui possède un routage par défaut connecté à la passerelle Internet pour acheminer le trafic du VCN du hub sud vers des cibles Internet ou on-premise.
    • Table de routage back-end attachée au sous-réseau back-end pointant vers le bloc CIDR des réseaux cloud virtuels distribués via des passerelles de routage dynamique.
    • La table de routage entrante VCN South Hub est attachée à l'attachement VCN du hub afin d'envoyer tout trafic entrant provenant des réseaux cloud virtuels adressés via la passerelle de routage dynamique vers l'adresse IP flottante secondaire de l'interface back-end de la passerelle de sécurité réseau CloudGuard principale.
    • Pour chaque rayon attaché au hub Nord via des passerelles de routage dynamique, une table de routage distincte est définie et associée à un sous-réseau associé. Cette table de routage transfère tout le trafic (0.0.0.0/0) du VCN satellite associé vers les passerelles de routage dynamique via l'adresse IP flottante secondaire de l'interface back-end de la passerelle de sécurité réseau CloudGuard principale, ou vous pouvez également le définir au niveau granulaire.
    • Table de routage de passerelle de service Oracle attachée à la passerelle de service Oracle pour la communication réseau Oracle Service. Cette route transmet tout le trafic (0.0.0.0/0) à l'adresse IP flottante secondaire de l'interface back-end de la passerelle de sécurité réseau CloudGuard principale.
    • Pour maintenir la symétrie du trafic, des routes sont également ajoutées à la passerelle de sécurité réseau CloudGuard de chaque point de reprise afin de pointer le bloc CIDR du trafic satellite vers l'adresse IP de passerelle par défaut du sous-réseau back-end (adresse IP de passerelle par défaut disponible dans le sous-réseau back-end sur le VCN du hub Sud) et le bloc CIDR par défaut (0.0.0.0/0) pointant vers l'adresse IP de passerelle par défaut du sous-réseau frontal.
    Sur le DRG, vous disposez des tables de routage suivantes :
    • Pour chaque attachement VCN satellite, vous disposez d'une table de routage DRG associée pour vous assurer que le trafic passe au VCN du hub sud. Ajoutez une règle de routage pour vous assurer que le trafic destiné au sous-réseau back-end du hub nord VCN suit le même chemin que celui d'où provient le trafic.
    • Pour l'attachement VCN du hub sud, une table de routage DRG associée garantit que les routes importées de chaque réseau cloud virtuel attaché à DRG font partie de cette table de routage.
  • Passerelle Internet

    La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

  • passerelle NAT

    La passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet sans les exposer aux connexions Internet entrantes.

  • Passerelle de routage dynamique

    Le DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région OCI, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  • Passerelle de service

    La passerelle de service fournit l'accès d'un VCN à d'autres services, tels qu'OCI Object Storage. Le trafic du VCN vers le service Oracle circule sur la structure réseau Oracle et ne parcourt jamais Internet.

  • FastConnect OCI

    FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et OCI. FastConnect fournit des options de bande passante plus élevée et une expérience de réseau plus fiable par rapport aux connexions Internet.

  • VNIC

    Les services des centres de données OCI disposent de cartes d'interface réseau (NIC) physiques. Les instances de machine virtuelle communiquent à l'aide de cartes d'interface réseau virtuelles (VNIC) associées aux cartes d'interface réseau physiques. Chaque instance dispose d'une carte d'interface réseau virtuelle principale créée et attachée automatiquement lors du déploiement et disponible pendant la durée de vie de l'instance. DHCP est uniquement proposé à la carte d'interface réseau virtuelle principale. Vous pouvez ajouter des VNIC secondaires après le déploiement de l'instance. Définissez des adresses IP statiques pour chaque interface.

  • IP privées

    Adresse IPv4 privée et informations associées pour l'adressage d'une instance. Chaque carte d'interface réseau virtuelle est dotée d'une adresse IP privée principale. Vous pouvez également ajouter et enlever des adresses IP privées secondaires. L'adresse IP privée principale d'une instance est attachée lors du déploiement de l'instance et ne change pas pendant la durée de vie de l'instance. Les adresses IP secondaires appartiennent également au même CIDR que le sous-réseau de la carte d'interface réseau virtuelle. L'adresse IP secondaire est utilisée comme adresse IP flottante car elle peut se déplacer entre différentes cartes d'interface réseau virtuelles sur différentes instances au sein du même sous-réseau. Vous pouvez également l'utiliser comme adresse différente pour héberger différents services.

  • Adresses IP publiques
    Les services réseau définissent une adresse IPv4 publique choisie par Oracle mappée avec une adresse IP privée. Les adresses IP publiques ont les types suivants : éphémère :
    • Cette adresse est temporaire et existe pendant toute la durée de vie de l'instance.
    • Réservé : cette adresse persiste au-delà de la durée de vie de l'instance. Vous pouvez annuler son affectation et la réaffecter à une autre instance.
  • Vérification de la source et de la destination

    Chaque VNIC exécute la vérification de source et de destination sur son trafic réseau. La désactivation de cet indicateur permet à une passerelle de sécurité réseau CloudGuard Check Point de gérer le trafic réseau non ciblé pour le pare-feu.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour sécuriser les charges de travail d'application ou Oracle E-Business Suite ou PeopleSoft sur OCI à l'aide de Check Point CloudGuard Network Security Gateway. Vos besoins peuvent être différents de ceux de l'architecture décrite ici.
  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR compris dans l'espace d'adresse IP privée standard.

    Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) auquel vous souhaitez configurer des connexions privées.

    Une fois que vous avez créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

    Utilisez des sous-réseaux régionaux et utilisez un CIDR VCN entier dans le cadre du CIDR de sous-réseau pour inspecter l'ensemble du trafic des réseaux cloud virtuels par satellite.

  • Check Point CloudGuard Network Security
    • Déployez un cluster haute disponibilité dans le hub sud.
    • Déployez un ensemble évolutif dans le hub nord.
    • Lorsque cela est possible, déployez dans des domaines de pannes distincts à un minimum ou à des domaines de disponibilité différents.
    • Assurez-vous que la MTU est définie sur 9000 sur toutes les VNIC.
    • Utilisez les interfaces SRIOV et VFIO (formes AMD uniquement).
    • Créez une deuxième topologie hub-parle dans une région distincte pour la récupération après sinistre ou la géoreondance.
    • Ne limitez pas le trafic via des listes de sécurité ou des passerelles de sécurité réseau, car tout le trafic est sécurisé par la passerelle de sécurité.
    • Par défaut, les ports 443 et 22 sont ouverts sur la passerelle et davantage de ports sont ouverts en fonction des stratégies de sécurité.
  • Gestion de la sécurité des points de reprise
    • Si vous créez un déploiement hébergé dans OCI, créez un sous-réseau dédié pour la gestion.
    • Déployez un serveur de gestion secondaire (gestion de la haute disponibilité) dans un autre domaine de disponibilité ou une autre région.
    • Utilisez des listes de sécurité ou des groupes de sécurité réseau pour restreindre l'accès entrant aux ports 443, 22 et 19009 provenant d'Internet pour l'administration de la stratégie de sécurité et pour afficher les journaux et les événements.
    • Créez une liste de sécurité ou un groupe de sécurité réseau autorisant le trafic entrant et sortant vers les passerelles de sécurité à partir du serveur de gestion de la sécurité.
  • Stratégies de sécurité Check Point

    Reportez-vous à la documentation relative à l'application dans la section Explorer plus pour obtenir des informations à jour sur les ports et protocoles requis.

Remarques

Lorsque vous sécurisez les charges de travail Oracle E-Business Suite ou PeopleSoft sur OCI à l'aide de la passerelle de sécurité réseau Check Point CloudGuard, tenez compte des facteurs suivants :

  • Performances
    • La sélection de la taille d'instance appropriée, déterminée par la forme Compute, détermine le débit maximal disponible, l'UC, la RAM et le nombre d'interfaces.
    • Les entreprises doivent savoir quels types de trafic traversent l'environnement, déterminer les niveaux de risque appropriés et appliquer les contrôles de sécurité appropriés selon les besoins. Différentes combinaisons de contrôles de sécurité activés ont un impact sur les performances.
    • Envisagez d'ajouter des interfaces dédiées pour les services VPN ou FastConnect. Envisagez d'utiliser des formes de calcul volumineuses pour un débit plus élevé et un accès à davantage d'interfaces réseau.
    • Exécutez des tests de performance pour valider la conception afin de maintenir les performances et le débit requis.
  • Sécurité
    • Le déploiement de la gestion de la sécurité des points de reprise dans OCI permet de centraliser la configuration de la stratégie de sécurité et la surveillance de toutes les instances de passerelle de sécurité des points de reprise physiques et virtuels.
    • Pour les clients Check Point existants, la migration de Security Management vers OCI est également prise en charge.
    • Définir une stratégie ou un groupe dynamique Identity and Access Management (IAM) distinct(e) par déploiement de cluster.
  • Disponibilité
    • Déployez votre architecture dans des régions géographiques distinctes pour une redondance maximale.
    • Configurer des VPN site à site avec des réseaux organisationnels pertinents pour une connectivité redondante avec des réseaux sur site.
  • Coût
    • Check Point CloudGuard est disponible dans les modèles de licence BYOL (apportez votre propre licence) et Pay As You Go (PAYG) pour les passerelles Security Management et Security Gateway d’Oracle Cloud Marketplace.
    • La licence de passerelle de sécurité réseau Point CloudGuard est basée sur le nombre de vCPUs (une OCPU équivaut à deux vCPUs).
    • Les licences Check Point BYOL sont portables entre les instances. Par exemple, si vous migrez des charges de travail à partir d'autres clouds publics qui utilisent également des licences BYOL, vous n'avez pas besoin d'acheter de nouvelles licences à partir de Check Point. Contactez votre représentant Check Point si vous avez des questions ou si vous avez besoin de vérifier votre statut de licence.
    • La gestion de la sécurité des points de reprise est concédée par passerelle de sécurité gérée. Par exemple, deux clusters comptent quatre pour la licence Security Management.

déploiement

Le code Terraform pour <briefly describe architecture> est disponible sous forme de pile dans Oracle Cloud Marketplace.Vous pouvez également télécharger le code à partir de GitHub et le personnaliser en fonction des besoins spécifiques de votre entreprise.
  • Déployer à l'aide de la pile dans Oracle Cloud Marketplace :
    1. Configurez l'infrastructure réseau requise comme indiqué dans le diagramme de l'architecture, à laquelle vous pouvez faire référence. Pour obtenir des instructions détaillées, reportez-vous à la section Configuration d'une topologie de réseau hub-and-parle.
    2. Déployez l'application (Oracle E-Business Suite, PeopleSoft ou les applications requises) dans votre environnement.
    3. Oracle Cloud Marketplace propose plusieurs offres pour différentes configurations et exigences de licence. Par exemple, la fonction d'énumération suivante utilise votre propre licence (BYOL). Pour chaque liste que vous choisissez, cliquez sur Obtenir l'application et suivez les invites à l'écran.
  • Effectuez un déploiement en utilisant le code Terraform dans GitHub :
    1. Accédez à GitHub.
    2. Clonez ou téléchargez le référentiel sur votre ordinateur local.
    3. Suivez les instructions du document README.

Voir plus

Découvrez les fonctionnalités de cette architecture et les ressources associées.