En savoir plus sur le déploiement du pare-feu Palo Alto en mode actif/actif avec OCI Flexible Network Load Balancer

Ce document fournit un guide pour le déploiement de pare-feu Palo Alto VM-Series en mode Actif/Actif dans Oracle Cloud Infrastructure (OCI).

Bien que Palo Alto prenne en charge de manière native la fonctionnalité de haute disponibilité (HA) active/active dans les data centers sur site, cela n'est pas possible dans les environnements de cloud public. Cependant, une solution de contournement pour ce déploiement a été rendue possible dans OCI, à l'aide d'une fonctionnalité révolutionnaire appelée hachage symétrique dans l'équilibreur de charge réseau flexible OCI.

Dans ce modèle de déploiement, le pare-feu Palo Alto fonctionne comme un périphérique passthrough, ce qui signifie qu'il ne nécessite pas de traduction d'adresse réseau (NAT) ou d'adresses IP publiques. L'adresse IP publique est plutôt associée au serveur DMZ réel ou aux équilibreurs de charge. Par conséquent, il n'est pas nécessaire d'ajouter des cartes réseau, même lorsque le nombre maximal d'adresses IP secondaires est atteint. Cette fonctionnalité est activée par l'option permettant d'attacher des tables de routage à la passerelle NAT, à la passerelle Internet et aux passerelles de service dans OCI.

Avantages:

  1. Débit accru : les deux pare-feu sont actifs, ce qui entraîne un débit plus élevé.
  2. Redimensionnement transparent : de nouveaux pare-feu peuvent être déployés sans interrompre le trafic existant, et peuvent être ajoutés au back-end des équilibreurs de charge réseau.
  3. Réduction du temps de basculement : le basculement est plus rapide car les appels d'API n'ont pas besoin de déplacer l'adresse IP du périphérique principal vers le périphérique secondaire.
  4. Aucune configuration de stratégie OCI Identity and Access Management : la configuration de stratégie OCI Identity and Access Management n'est pas requise pour permettre au pare-feu Palo Alto de lire le VCN et de gérer le déplacement des cartes d'interface réseau.
  5. Aucune carte réseau supplémentaire n'est requise : lorsque le nombre d'adresses IP publiques dépasse 64, aucune carte réseau supplémentaire n'est nécessaire, car aucune adresse IP publique n'est associée au pare-feu. La taille du sous-réseau de la zone démilitarisée détermine le nombre maximal de services ou d'applications pouvant être exposés à Internet.
  6. Réduction des coûts : les coûts d'exploitation des licences et des machines virtuelles sont réduits car ce modèle ne nécessite pas de cartes réseau supplémentaires.

Avant de commencer

Pour mieux comprendre ce modèle de déploiement, reportez-vous aux liens suivants qui traitent de la fonctionnalité de hachage symétrique de l'équilibreur de charge réseau flexible OCI et du déploiement Palo Alto dans OCI.

Architecture

Le diagramme suivant présente l'architecture de haut niveau utilisée pour tester la configuration active/active de Palo Alto dans OCI.

Il s'agit d'un déploiement d'architecture hub spoke typique dans OCI, où le pare-feu Palo Alto actif/actif est déployé avec quatre cartes d'interface réseau sur le VCN hub, ajouté au fait que nous disposerons d'un sous-réseau public pour DMZ dans le VCN hub. Les réseaux cloud virtuels Spoke seront attachés au DRG afin d'acheminer l'ensemble du Nord-Sud, Est-Ouest via les pare-feu de Palo Alto. La configuration active/active est obtenue en ajoutant les machines virtuelles Palo Alto en tant que back-end des NLB entrants et sécurisés.

Dans cette section, nous allons nous pencher sur le routage et les flux de trafic dans cette architecture de référence. Le terme "tok" dans les noms des ressources fait référence à la région de Tokyo où ce modèle d'architecture de référence a été déployé et testé.



oci-nlb-palo-alto-active-active-arch-oracle.zip

Flux de trafic Internet entrant Nord-Sud vers OCI :

Le diagramme suivant représente le flux du service Web DMZ exposé à Internet. L'équilibreur de charge d'application se trouve sur un sous-réseau public et les serveurs back-end se trouvent dans des sous-réseaux privés du VCN satellite. Le flux détaillé sur chaque saut est décrit dans les étapes suivantes.



oci-nlb-palo-alto-active-active-dmz-oracle.zip

  1. Le trafic provenant de l'ordinateur client sur Internet est acheminé vers la passerelle Internet (IGW).
  2. IGW fait référence à la table de routage de passerelle Internet vers le sous-réseau "hub-tok-publiclb-sn" et achemine le trafic vers l'adresse IP d'équilibreur de charge réseau entrant 10.1.1.198.
  3. L'équilibreur de charge entrant équilibrera la charge du trafic vers l'un des périphériques PA du back-end à l'aide de l'algorithme de hachage symétrique.
  4. Le pare-feu validera la stratégie, acheminera le trafic hors de son interface entrante sur le routeur virtuel "inbound-rtr" vers l'équilibreur de charge d'application disposant de l'adresse IP publique.

    Remarques :

    La stratégie de sécurité de pare-feu sera écrite sur l'adresse IP privée (10.1.1.112) de l'équilibreur de charge public.
  5. OCI Flexible Network Load Balancer effectue la traduction d'adresse réseau source (SNAT) pour le trafic et l'achemine vers la passerelle de routage dynamique (DRG) faisant référence à la table de routage de sous-réseau.
  6. DRG faisant référence à la table de routage de l'attachement VCN Hub, achemine le trafic vers le VCN Spoke et le trafic atteint le serveur Web.
  7. Le serveur Web enverra le trafic de retour à l'attachement DRG en fonction de la table de routage du sous-réseau.
  8. DRG fait référence à la table de routage de l'attachement VCN satellite et envoie le trafic vers l'équilibreur de charge réseau flexible OCI dans le hub.
  9. L'équilibreur de charge réseau flexible OCI UNAT le trafic et utilise le routage par défaut du sous-réseau pour envoyer le trafic vers l'adresse IP d'équilibreur de charge réseau entrant 10.1.1.198.
  10. L'équilibreur de charge réseau entrant transmettra le trafic au même périphérique PA dans le back-end qui a lancé le trafic à l'aide de l'algorithme de hachage symétrique.
  11. Palo Alto reçoit le trafic sur la NIC entrante et, selon l'itinéraire par défaut des routeurs virtuels, renvoie le trafic à la passerelle Internet.
  12. La passerelle Internet achemine le trafic vers le client Internet.

Flux de trafic Internet sortant Nord-Sud à partir d'OCI :

Le diagramme suivant illustre le flux de trafic Internet sortant d'OCI. Toutes les machines virtuelles d'OCI utiliseront les passerelles NAT SNAT et OCI de Palo Alto pour accéder à Internet. Le SNAT de Palo Alto est nécessaire pour rendre le chemin de retour symétrique. L'adresse IP publique sortante sera l'adresse IP de la passerelle NAT.



oci-nlb-palo-alto-actif-actif-sortant-oracle.zip

  1. Le trafic de la machine virtuelle dans le sous-réseau satellite à l'aide de l'acheminement par défaut vers DRG achemine le trafic vers l'attachement DRG.
  2. DRG fait référence à la table de routage d'attachement du spoke et achemine le trafic vers le VCN hub et la table de routage de transit du VCN achemine le trafic vers l'adresse IP NLB sécurisée 10.1.1.229.
  3. L'équilibreur de charge réseau équilibre le trafic vers l'un des pare-feu en mode actif/actif.
  4. Le pare-feu reçoit le trafic sur l'interface sécurisée dans le routeur virtuel par défaut. Il effectue SNAT pour le trafic vers l'adresse IP d'interface non sécurisée et fait référence au routage par défaut pour transférer le trafic vers la passerelle NAT OCI.
  5. La passerelle NAT achemine le trafic vers Internet à l'aide de son adresse IP publique.
  6. Internet réachemine le trafic de retour vers la passerelle NAT.
  7. La passerelle NAT UNAT est le trafic et le redirige vers la même interface Palo Alto qu'il y avait un SNAT sur Palo Alto.
  8. La table d'état basée sur Palo Alto et les routes sur le routeur virtuel par défaut envoient le trafic hors NIC de confiance au DRG après la passerelle NAT inverse.
  9. DRG fait référence à la table de routage attachée au VCN Hub et achemine vers le VCN Spoke respectif et atteint la machine virtuelle source.

Trafic est-ouest entre les rayons dans OCI ou sur site vers OCI :

Le diagramme suivant illustre le flux de trafic entre OCI et sur site. Pour comprendre le flux de trafic entre les rayons dans OCI, nous pouvons considérer l'environnement sur site comme l'un des rayons. Dans ce cas, la seule modification est la table de routage référencée sur la pièce jointe Spoke. Ce déploiement peut être appelé mode bras unique, où le trafic entrera et quittera la même interface du pare-feu, ici l'interface est l'interface de confiance.



oci-nlb-palo-alto-active-active-onprem-oracle.zip

  1. Le trafic sur site est acheminé vers OCI DRG via IPSec ou OCI FastConnect.
  2. DRG fait référence à la table de routage d'attachement d'OCI FastConnectou IPSec et achemine le trafic vers le VCN du hub. La table de routage d'attachement VCN sur le hub achemine le trafic vers l'adresse IP d'équilibreur de charge réseau sécurisé 10.1.1.229.
  3. NLB équilibre la charge du trafic vers l'un des pare-feu en mode Actif/Actif.
  4. Le pare-feu traite le trafic en fonction de la règle de sécurité et le renvoie à DRG sur la table de routage Hub dans l'attachement de hub.
  5. DRG fait référence à la table de routage attachée à l'attachement de hub et achemine le trafic vers le VCN satellite respectif et la machine virtuelle correspondante.
  6. La machine virtuelle envoie le trafic de retour au DRG faisant référence à la règle de routage par défaut dans la table de routage.
  7. DRG fait référence à la table de routage attachée au VCN satellite et achemine le trafic vers le VCN hub, la table de routage de transit du hub achemine le trafic vers l'équilibreur de charge réseau sécurisé.
  8. NLB équilibre la charge du trafic vers le même appareil Palo Alto à l'aide de l'algorithme de hachage symétrique.
  9. Le pare-feu fait référence à la table d'état et aux routages du routeur virtuel par défaut et renvoie le trafic vers le DRG sur la table de routage du hub dans l'attachement du hub.
  10. DRG fait référence à la table de routage du hub dans l'attachement de hub et achemine le trafic vers l'environnement sur site via le tunnel OCI FastConnect ou IPSec.

Flux de trafic sortant est-ouest des machines virtuelles OCI vers Oracle Services Network :

Le diagramme suivant illustre le flux de trafic sortant des machines virtuelles OCI vers Oracle Services Network. Toutes les machines virtuelles dans OCI utiliseront les passerelles de service SNAT et OCI de Palo Alto pour accéder à Oracle Services Network. Le SNAT de Palo Alto est nécessaire pour rendre le chemin de retour symétrique. Sur Oracle Services Network, si vous devez mettre le VCN sur liste blanche, ce seront les plages du VCN Hub.



oci-nlb-palo-alto-actif-actif-osn-oracle.zip

  1. Le trafic de la machine virtuelle dans le sous-réseau satellite à l'aide de l'acheminement par défaut vers DRG achemine le trafic vers l'attachement DRG.
  2. DRG fait référence à la table de routage d'attachement du spoke et achemine le trafic vers la table de routage d'attachement Hub VCN et VCN sur le VCN Hub achemine le trafic vers l'adresse IP d'équilibreur de charge réseau sécurisé 10.1.1.229.
  3. Faites confiance à l'équilibreur de charge NLB pour équilibrer le trafic vers l'un des pare-feu en mode Actif/Actif.
  4. Le pare-feu reçoit le trafic sur l'interface sécurisée sur le routeur virtuel par défaut. Il effectue le SNAT pour le trafic vers l'IP de l'interface non sécurisée. Le routage par défaut transmet ensuite le trafic à la table de routage du sous-réseau OCI, puis à la passerelle de service OCI.
  5. La passerelle de service achemine le trafic vers Oracle Services Network via le réseau principal OCI et renvoie le trafic de retour vers la même interface du pare-feu qu'il y avait un SNAT sur Palo Alto.
  6. Palo Alto fait référence à la table d'état, effectue le NAT inverse et, en fonction de la route statique sur le routeur virtuel par défaut, envoie le trafic hors de la NIC de confiance et finalement au DRG.
  7. DRG fait référence à la table de routage attachée au VCN Hub et achemine le trafic vers le VCN Spoke respectif, puis vers la machine virtuelle source.

Cette architecture prend en charge les composants suivants :

  • Equilibreur de charge réseau

    L'équilibreur de charge réseau est un service d'équilibrage de charge qui fonctionne sur les couches 3 et 4 du modèle OSI (Open Systems Interconnection). Ce service offre les avantages de la haute disponibilité et offre un débit élevé tout en maintenant une latence ultra-faible.

  • Pare-feu Palo Alto

    Le pare-feu de nouvelle génération VM-Series protège vos applications et vos données avec les mêmes fonctionnalités de sécurité qui protègent l'infrastructure des clients dans le cloud. Le pare-feu de nouvelle génération VM-Series permet aux développeurs et aux architectes de la sécurité du cloud d'intégrer la prévention des menaces et des pertes de données dans leur workflow de développement d'applications.

  • Passerelle de routage dynamique

    Le DRG est un routeur virtuel qui fournit un chemin pour le trafic de réseau privé entre les réseaux cloud virtuels de la même région, entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  • Passerelle Internet

    Une passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

  • Passerelle NAT

    Une passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet, sans exposer ces ressources aux connexions Internet entrantes.

  • Réseau sur site

    Il s'agit d'un réseau local utilisé par votre organisation.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles pour acheminer le trafic des sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

  • Passerelle de service

    La passerelle de service fournit un accès à partir d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic entre le VCN et le service Oracle passe par la structure du réseau Oracle et ne traverse pas Internet.

  • Réseau cloud virtuel (VCN) et sous-réseau

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent le contrôle sur l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.