Intégration native du pare-feu de nouvelle génération (NGFW) sur Oracle Cloud

Empêcher les utilisateurs non authentifiés de planter des périphériques à distance ou d'exécuter du code est exactement ce que le pare-feu de nouvelle génération (NGFW) de Fortinet est conçu pour faire.

La structure de sécurité de Fortinet couvre à la fois les centres de données et les clouds, afin de fournir aux entreprises une vue consolidée de leur état de sécurité et de fournir une console unique pour la gestion des stratégies, le reporting de gouvernance et la surveillance des événements. La vue à console unique couvre les infrastructures physiques, virtuelles et cloud, y compris les clouds privés, publics et hybrides. Cette structure de sécurité a récemment été intégrée de manière native à Oracle Cloud Infrastructure (OCI), offrant aux entreprises des performances évolutives, une orchestration de la sécurité avancée et une protection unifiée contre les menaces pour les charges de travail qu'elles exécutent sur OCI.

FortiGate NGFW offre aux entreprises un meilleur contrôle des applications, le filtrage Web, la détection avancée des menaces, l'antivirus, la prévention des intrusions, le service de protection contre les épidémies de virus, la désarmement et la reconstruction de contenu et la sécurité anti-botnet. Vous pouvez rechercher et déployer différentes configurations de l'appliance NGFW FortiGate virtuelle à partir d'Oracle Cloud Marketplace.

Les déploiements FortiGate sur OCI fournissent :

• Protection du trafic réseau nord-sud, tout en contrôlant, inspectant et sécurisant le trafic en dehors des réseaux cloud virtuels OCI. Cette protection couvre le trafic entre un réseau sur site et le VCN, ainsi que le trafic qui circule vers et depuis Internet.
• Protection du trafic réseau est-ouest, tout en contrôlant, inspectant et sécurisant le trafic entre les réseaux cloud virtuels OCI.

Fortigate fournit une inspection approfondie des paquets (DPI) ou un sniffing de paquets pour examiner le contenu des paquets de données sur le réseau. L'inspection normale des paquets examine uniquement l'en-tête du paquet. DPI consiste à examiner non seulement l'en-tête du paquet, mais aussi les données qu'il contient. Avec sa technologie DPI, FortiGate sert de point de contrôle pour le trafic nord-sud ou est-est afin de vérifier si les paquets sont sûrs à passer.

Architecture

Vous pouvez déployer le pare-feu de nouvelle génération FortiGate (NGFW) dans une configuration actif-actif ou dans une configuration actif-passif.

Les deux options de déploiement offrent une protection haute disponibilité. Les principaux points à prendre en compte lors de la sélection d'une option de déploiement sont l'évolutivité, la résilience et la haute disponibilité. Pour redimensionner verticalement, choisissez la configuration actif-passif, en ajoutant davantage d'OCPU et de RAM si nécessaire. Pour redimensionner horizontalement, choisissez la configuration active-active, en ajoutant des instances supplémentaires si nécessaire.

Dans une architecture de déploiement classique, les instances FortiGate sont déployées dans une architecture "sandwich de l'équilibreur de charge". Pour une configuration actif-actif, ils sont "mis en sandwich" entre les équilibreurs de charge avec deux sous-réseaux. Pour une architecture active-passive, quatre ports sont recommandés : ports publics (non sécurisés), privés (de confiance), signaux d'activité et ports de gestion. Un réseau cloud virtuel hub (VCN) contient l'équilibreur de charge avec une paire d'instances FortiGate. Les instances FortiGate chevauchent deux sous-réseaux. Un sous-réseau privé (de confiance) et public (non sécurisé) valident le trafic entrant vers le réseau privé. Deux ports sont affectés aux instances FortiGate : un sur un sous-réseau public non sécurisé et un sur un sous-réseau privé sécurisé. Cette disposition fournit un analyseur de trafic réseau centralisé dans le hub de l'infrastructure réseau. Pour la haute disponibilité, vous pouvez déployer les instances FortiGate dans différents domaines de disponibilité ou domaines de pannes, en fonction de la région choisie. Vous pouvez également configurer plusieurs clusters FortiGate pour permettre les configurations multi-région.

Le diagramme suivant illustre une architecture de référence dans une seule région avec plusieurs domaines de disponibilité.

Description de l'illustration fortinet-ngfw-oci-arch.png

fortinet-ngfw-oci-arch-oracle.zip

Plusieurs cas d'emploi sont décrits dans le diagramme ci-dessus :

• Trafic entrant (nord-sud) à partir d'Internet : le trafic entrant à partir d'Internet entre dans le VCN via une passerelle Internet. Après l'équilibrage de charge, le trafic passe à une paire d'instances virtuelles FortiGate. Les instances FortiGate inspectent le trafic et, si le trafic est sûr et non malveillant, il le transmet à l'application (nord-sud).
• Trafic entrant (nord-sud) à partir d'un environnement sur site : le trafic réseau sur site se connecte à l'aide d'Oracle Cloud Infrastructure FastConnect ou d'un tunnel IPSec qui suit le même chemin mais entre dans la région OCI via une passerelle de routage dynamique (DRG). Le trafic passe ensuite à l'équilibreur de charge, continue vers l'instance FortiGate, puis vers l'application.
• Trafic interne (est-ouest) : après que le trafic quitte les réseaux cloud virtuels satellite, il passe par le DRG et entre dans l'équilibreur de charge dans le VCN hub. L'instance FortiGate valide le trafic avant de l'autoriser à avancer en interne et détermine s'il passe à une application hiérarchisée avec un composant frontal Web ou à une application dans un autre VCN satellite. FortiGate fournit la validation du trafic du sous-réseau vers le sous-réseau dans ce cas d'emploi.

FortiGate fonctionne conjointement avec les services de sécurité natifs OCI, tels que les listes de sécurité et les groupes de sécurité réseau. FortiGate permet le filtrage du trafic à l'aide de stratégies de pare-feu et inspecte le trafic à la recherche d'attaques connues et inconnues, comme IPS, antivirus et technologies de filtrage Web. Les listes de sécurité et les groupes de sécurité réseau autorisent ou arrêtent le trafic en fonction des ports et des protocoles. Cette couche de sécurité supplémentaire fournit une défense en profondeur à l'architecture OCI.

L'architecture comprend les composants suivants :

• Location

  Une location est une partition sécurisée et isolée qu'Oracle configure dans Oracle Cloud lorsque vous êtes inscrit à Oracle Cloud Infrastructure. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud dans votre location. Une location est synonyme d'entreprise ou d'organisation. Généralement, une entreprise dispose d'une location unique et reflète sa structure organisationnelle dans cette location. Une location unique est généralement associée à un seul abonnement et un seul abonnement ne comporte généralement qu'une seule location.

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (dans tous les pays ou même les continents).

• Compartiment

  Les compartiments sont des partitions logiques inter-région au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser vos ressources dans Oracle Cloud, contrôler l'accès aux ressources et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous définissez des stratégies qui indiquent qui peut accéder aux ressources et les actions réalisables.

• Domaine de disponibilité

  Les domaines de disponibilité sont des centres de données indépendants autonomes au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure la tolérance aux pannes. Les domaines de disponibilité ne partagent ni infrastructure telle qu'un réseau d'alimentation ou de refroidissement, ni réseau interne. Par conséquent, il est peu probable qu'un problème survenant dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

• Domaine de pannes

  Un domaine de pannes est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité dispose de trois domaines de pannes avec une alimentation et un matériel indépendants. Lorsque vous distribuez des ressources sur plusieurs domaines de pannes, vos applications peuvent tolérer les pannes de serveur physique, de maintenance du système et d'alimentation au sein d'un domaine de pannes.

• Réseau cloud virtuel (VCN) et sous-réseaux

  Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centres de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

• Liste de sécurité

  Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui indiquent la source, la destination et le type de trafic qui doivent être autorisés vers et depuis le sous-réseau.

• Table de routage

  Les tables de routage virtuel contiennent des règles pour acheminer le trafic des sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

• Passerelle Internet

  La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

• FastConnect

  Oracle Cloud Infrastructure FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect offre des options de bande passante plus élevée et une expérience réseau plus fiable par rapport aux connexions Internet.

• Passerelle de routage dynamique (DRG)

  Le DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre les réseaux cloud virtuels de la même région, entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

• Passerelle de service

  La passerelle de service fournit l'accès d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic du VCN vers le service Oracle se déplace sur la structure réseau Oracle et ne traverse jamais Internet.

• Equilibreur de charge

  Le service Oracle Cloud Infrastructure Load Balancing fournit une distribution automatisée du trafic d'un point d'entrée unique vers plusieurs serveurs du back-end.

• Stockage d'objets

  Object Storage offre un accès rapide à de grandes quantités de données structurées et non structurées de tout type de contenu, y compris des sauvegardes de base de données, des données analytiques et du contenu enrichi tel que des images et des vidéos. Vous pouvez stocker les données, puis les extraire directement à partir d'Internet ou de la plate-forme cloud, et ce, en toute sécurité. Vous pouvez adapter le stockage de manière transparente sans subir de dégradation des performances ni de la fiabilité du service. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archive pour un stockage "froid" que vous conservez pendant de longues périodes et que vous accédez rarement ou rarement.

• Identity and Access Management (IAM)

  Oracle Cloud Infrastructure Identity and Access Management (IAM) est le plan de contrôle d'accès pour les applications Oracle Cloud Infrastructure (OCI) et Oracle Cloud. L'API IAM et l'interface utilisateur vous permettent de gérer les domaines d'identité et les ressources au sein du domaine d'identité. Chaque domaine d'identité OCI IAM représente une solution de gestion des identités et des accès autonome ou une population d'utilisateurs différente.

• Audit

  Le service Oracle Cloud Infrastructure Audit enregistre automatiquement les appels à toutes les adresses d'API (interfaces de programmation d'applications) publiques Oracle Cloud Infrastructure prises en charge en tant qu'événements de journal. Actuellement, tous les services prennent en charge la journalisation par Oracle Cloud Infrastructure Audit.

• Journalisation
  Logging est un service entièrement géré et hautement évolutif qui permet d'accéder aux types de journal suivants à partir de vos ressources dans le cloud :

  • Journaux d'audit : journaux relatifs aux événements émis par le service Audit.
  • Journaux de service : journaux émis par des services individuels tels que API Gateway, Events, Functions, Load Balancing, Object Storage et les journaux de flux VCN.
  • Journaux personnalisés : journaux contenant des informations de diagnostic provenant d'applications personnalisées, d'autres fournisseurs cloud ou d'un environnement sur site.
• Surveillance

  Le service Oracle Cloud Infrastructure Monitoring surveille activement et passivement vos ressources cloud à l'aide de mesures pour surveiller les ressources et les alarmes afin de vous avertir lorsque ces mesures répondent aux déclencheurs spécifiés par une alarme.

Présentation des fonctionnalités intégrées et déployées

Vous souhaitez montrer ce que vous avez créé sur Oracle Cloud Infrastructure ? Vous souhaitez partager vos enseignements, vos meilleures pratiques et vos architectures de référence avec notre communauté mondiale d'architectes cloud ? Laissez-nous vous aider à vous lancer.

1. Télécharger le modèle (PPTX)

   Illustrez votre propre architecture de référence en glissant-déposant les icônes dans l'exemple d'image filaire.

2. Regardez le tutoriel sur l'architecture

   Obtenez des instructions détaillées sur la création d'une architecture de référence.

3. Soumettre votre diagramme

   Envoyez-nous un e-mail avec votre diagramme. Nos architectes cloud passeront en revue votre diagramme et vous contacteront pour discuter de votre architecture.

En savoir plus

En savoir plus sur les fonctionnalités de cette architecture et sur les architectures associées.

• Structure des meilleures pratiques pour Oracle Cloud Infrastructure

• Solutions de sécurité Fortinet sur Oracle Cloud Infrastructure

• Fortinet FortiGate sur OCI - Haute disponibilité

• Déployez des pare-feu FortiGate et sécurisez vos charges de travail sur OCI (LiveLab)

• Oracle Cloud Marketplace

• Documentation Oracle Cloud Infrastructure

• Evaluateur de coûts Oracle Cloud

Accusés de réception

• Auteurs : Robert Huie, Josh Hammer
• Contributeurs : Sasha Banks-Louie, Robert Lies

  Équipe Fortinet : Satish Chitupolu, Srija Reddy Allam, Cassie Christensen