1. Charges de travail sécurisées avec pare-feu VM-Series Palo Alto Networks à l'aide d'un équilibreur de charge réseau flexible
  2. Charges de travail sécurisées avec pare-feu VM-Series Palo Alto Networks à l'aide d'un équilibreur de charge réseau flexible

Charges de travail sécurisées avec pare-feu VM-Series Palo Alto Networks à l'aide d'un équilibreur de charge réseau flexible

Les pare-feu virtuels de nouvelle génération de la série VM-Series de Palo Alto Networks sécurisent les environnements multiclouds en offrant une visibilité et un contrôle complets du trafic d'application sur les applications personnalisées, une gestion cohérente des pare-feu dans les nuages croisés et l'application des politiques, une protection contre les menaces générée par la machine et la prévention de l'exfiltration, ainsi que des capacités automatisées de déploiement et de provisionnement pour suivre même les environnements les plus dynamiques.

Les pare-feu virtuels de nouvelle génération de VM-Series augmentent les contrôles de sécurité réseau natifs d'Oracle Cloud Infrastructure en protégeant contre les exploits, les logiciels malveillants, les menaces connues et inconnues et l'exfiltration des données.

Les pare-feu virtuels de nouvelle génération de VM-Series fournissent toutes les capacités des pare-feu physiques de nouvelle génération dans un facteur de forme de machine virtuelle (VM), assurant la sécurité du réseau en ligne et la prévention des menaces afin de protéger systématiquement les nuages publics et privés, les centres de données virtualisés et les emplacements des succursales. Les pare-feu virtuels VM-Series offrent les fonctionnalités dont les équipes de sécurité ont besoin pour sécuriser les environnements cloud publics, y compris une visibilité et un contrôle complets, une application cohérente des politiques, la sécurité des applications, la prévention de l'exfiltration, la conformité et la gestion des risques, l'automatisation de la sécurité et la gestion du cloud agnostique.

  • La visibilité et le contrôle complets trouvent des menaces dans tous les environnements
  • L'application cohérente de la politique offre la meilleure sécurité en classe
  • Conformité et Risk Management deviennent plus faciles
  • DevOps Security Automation Safeguards


Description de palo_alto_nlb_adv_sec.png suivante
Description de l'illustration palo_alto_nlb_adv_sec.png

Architecture

Cette architecture de référence illustre comment les organisations peuvent protéger les applications Oracle, comme Oracle E-Business Suite et PeopleSoft, déployées dans Oracle Cloud Infrastructure (OCI) à l'aide du pare-feu Palo Alto Networks VM Series avec équilibreur de charge réseau flexible.

Pour protéger ces flux de trafic, Palo Alto Networks recommande de segmenter le réseau à l'aide d'une topologie de hub et d'haut-parleurs, où le trafic est acheminé par un hub central et est connecté à plusieurs réseaux distincts (haut-parleurs). Assurez-vous que vous avez déployé plusieurs instances VM-Series entre des équilibreurs de charge réseau flexibles considérés comme Topologie sandwich. Tout le trafic entre les rayons, qu'ils soient à destination ou en provenance d'Internet, à destination ou à destination du réseau de services Oracle, est acheminé à travers le hub et inspecté avec les technologies de prévention des menaces multicouches de Palo Alto Networks VM Series Firewall.

Déployez chaque niveau de votre application dans son propre réseau cloud virtuel (VCN), qui agit en tant que porte-parole. Le VCN du hub contient un cluster actif/actif de pare-feu Palo Alto Networks VM Series, une passerelle Internet Oracle, une passerelle de routage dynamique (DRG), Oracle Service Gateway, des passerelles d'appariement locales (LPG), des équilibreurs de charge réseau flexibles internes et externes.

Le hub VCN se connecte aux VCN parlé via des LPG. Tout le trafic parlé utilise des règles de table de routage pour acheminer le trafic à travers les GPL vers le hub à l'aide d'un équilibreur de charge réseau flexible pour l'inspection par le cluster Firewall de la série VM Palo Alto Networks.

Vous pouvez configurer et gérer localement le pare-feu Palo Alto Networks ou le gérer de manière centralisée à l'aide du système de gestion centralisée de la sécurité Panorama, Palo Alto Networks. Panorama aide les clients à réduire la complexité et les frais généraux administratifs dans la gestion de la configuration, des politiques, des logiciels et des mises à jour dynamiques du contenu. En utilisant des groupes de périphériques et des modèles sur Panorama, vous pouvez gérer efficacement la configuration propre au pare-feu localement sur un pare-feu et appliquer des stratégies partagées à tous les pare-feu ou groupes de périphériques.

Le diagramme suivant illustre cette architecture de référence.


Description de palo_alto_nlb_nw_vm_oci.png suivante
Description de l'illustration palo_alto_nlb_nw_vm_oci.png

Pour chaque flux de trafic, assurez-vous que la traduction des adresses réseau (NAT) et les politiques de sécurité sont ouvertes sur le pare-feu Palo Alto Networks VM Series.

Trafic entrant Nord-Sud

Le diagramme suivant illustre comment le trafic entrant nord-sud accède au niveau d'application Web à partir d'Internet et des centres de données distants.


Description de palo_alto_nlb_north_south_inbound.png suivante
Description de l'illustration palo_alto_nlb_north_south_inbound.png

Trafic sortant Nord-Sud

Le diagramme suivant illustre comment les connexions sortantes des niveaux de l'application Web et de la base de données à Internet fournissent des mises à jour logicielles et un accès aux services Web externes.


Description de palo_alto_nlb_north_south_outbound.png suivante
Description de l'illustration palo_alto_nlb_north_south_outbound.png

Trafic Est-Ouest (Web vers la base de données)

Le diagramme suivant illustre comment le trafic passe de l'application Web au niveau de la base de données.


Description de palo_alto_nlb_east_west_web_db.png suivante
Description de l'illustration palo_alto_nlb_east_west_web_db.png

Trafic Est-Ouest (base de données vers le Web)

Le diagramme suivant illustre comment le trafic passe du niveau de base de données à l'application Web.


Description de palo_alto_nlb_east_west_db_web.png suivante
Description de l'illustration palo_alto_nlb_east_west_db_web.png

Trafic Est-Ouest (Application Web au réseau Oracle Services)

Le diagramme suivant illustre comment le trafic passe de l'application Web au réseau Oracle Services.


Description de palo_alto_nlb_east_west_webapp_osn.png suivante
Description de l'illustration palo_alto_nlb_east_west_webapp_osn.png

Trafic Est-Ouest (Oracle Services Network to Web Application)

Le diagramme suivant illustre comment le trafic passe du réseau Oracle Services à l'application Web.


Description de palo_alto_nlb_east_west_osn_webapp.png suivante
Description de l'illustration palo_alto_nlb_east_west_osn_webapp.png

L'architecture se compose des éléments suivants :

  • Pare-feu Palo Alto Networks VM-Series

    Fournit toutes les capacités des pare-feu physiques de prochaine génération sous forme de machine virtuelle (VM), assurant la sécurité des réseaux en ligne et la prévention des menaces afin de protéger systématiquement les nuages publics et privés.

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (d'un pays à l'autre ou même d'un continent à l'autre).

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui donne une tolérance aux pannes. Les domaines de disponibilité ne partagent pas d'infrastructure comme l'alimentation ou le refroidissement, ou le réseau de domaine de disponibilité interne. Ainsi, il est peu probable qu'un problème survenant dans un domaine de disponibilité compromette les autres domaines de disponibilité de la région.

  • Domaines de pannes

    Un domaine défectueux est un regroupement de matériel et d'infrastructure dans un domaine de disponibilité. Chaque domaine de disponibilité dispose de trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous distribuez des ressources dans plusieurs domaines de panne, vos applications peuvent tolérer la panne de serveur physique, la maintenance du système et les pannes de courant dans un domaine de panne.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisable et défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux traditionnels de centres de données, les VCN vous donnent un contrôle complet sur votre environnement de réseau. Un VCN peut avoir plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être étendus à une région ou à un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux de VCN. Vous pouvez modifier la taille d'un sous-réseau après la création. Un sous-réseau peut être public ou privé.

  • Hub VCN

    Le hub VCN est un réseau centralisé où les pare-feu VM-Series Palo Alto Networks sont déployés. Il fournit une connectivité sécurisée à tous les réseaux cloud cloud virtuels, services Oracle Cloud Infrastructure, adresses publiques et clients, ainsi qu'aux réseaux de centres de données sur site.

  • VCN parlé au niveau de l'application

    VCN de niveau application contient un sous-réseau privé pour héberger les composants Oracle E-Business Suite ou PeopleSoft.

  • VCN parlé de niveau de base de données

    VCN de niveau base de données contient un sous-réseau privé pour l'hébergement des bases de données Oracle.

  • Equilibreur de charge

    Le service Oracle Cloud Infrastructure Load Balancing fournit une distribution automatisée du trafic à partir d'un point d'entrée unique vers plusieurs serveurs dans le back-end.

  • Equilibreur de charge réseau flexible

    Equilibreur de charge réseau flexible Oracle Cloud Infrastructure fournit une distribution de trafic automatisée d'un point d'entrée à plusieurs serveurs back-end dans vos réseaux cloud virtuels. Il fonctionne au niveau de la connexion et équilibre la charge des connexions client entrantes vers des serveurs back-end sains basés sur des données Layer3/Layer4 (protocole IP).

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés dans et hors du sous-réseau.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles pour acheminer le trafic de sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

    Dans le hub VCN, vous disposez des tables de routage suivantes :

    • Table de routage de gestion attachée au sous-réseau de gestion ayant une route par défaut connectée à la passerelle Internet.
    • Table de routage jusqu'à ce qu'elle soit attachée au sous-réseau non sécurisé ou à VCN par défaut pour acheminer le trafic du hub VCN vers Internet ou les cibles sur site.

      Cette table de routage comporte également une entrée supplémentaire pointant vers vos sous-réseaux sur site à l'aide d'une passerelle de routage dynamique. Cela garantit qu'aucune perturbation de la circulation ne se produit lors de la future prise en charge de la traduction des adresses réseau natives.

    • Tableau d'acheminement de confiance joint au sous-réseau de fiducie pointant vers le bloc CIDR des VCN parlé par l'intermédiaire des GPL associés.
    • Table de routage de l'équilibreur de charge réseau (NLB) attachée au sous-réseau NLB qui pointe vers le bloc CIDR des sous-réseaux sur site à l'aide de passerelles de routage dynamiques.
    • Pour chaque haut-parleur attaché au hub, une table de routage distincte est définie et attachée à un GPL associé. Cette table de routage transmet tout le trafic (0.0.0.0/0) à partir du GPL parlé associé via l'équilibreur de charge réseau flexible interne, ou vous pouvez également le définir au niveau granulaire.
    • Table d'acheminement de passerelle de service Oracle attachée à la passerelle de service Oracle pour la communication Oracle Services Network. Cette route achemine tout le trafic (0.0.0.0/0) vers l'adresse IP VIP de l'équilibreur de charge interne.
    • Pour maintenir la symétrie du trafic, des routes sont également ajoutées à chaque pare-feu VM-Series Palo Alto Networks pour pointer le bloc CIDR du trafic parlé vers l'adresse IP de passerelle par défaut du sous-réseau trust (IP de passerelle par défaut disponible dans le sous-réseau trust sur le hub VCN) et le bloc CIDR par défaut (0.0.0.0/0) pointant vers IP de passerelle par défaut Untrust.
  • Passerelle Internet

    La passerelle Internet permet le trafic entre les sous-réseaux publics dans un VCN et Internet public.

  • Passerelle NAT

    La passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet, sans exposer ces ressources à des connexions Internet entrantes.

  • Passerelle d'appariement local (GPL)

    Un GPL vous permet d'apparier un VCN à un autre VCN dans la même région. Peering signifie que les VCN communiquent à l'aide d'adresses IP privées, sans le trafic traversant Internet ou le routage via votre réseau sur site.

  • Passerelle de routage dynamique (DRG)

    DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  • Passerelle de service

    La passerelle de service fournit l'accès d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic entre VCN et le service Oracle traverse le tissu réseau Oracle et ne traverse jamais Internet.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect offre un moyen facile de créer une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect offre des options de bande passante plus élevées et une expérience réseau plus fiable par rapport aux connexions Internet.

  • Carte d'interface réseau virtuelle (VNIC)

    Les services des centres de données Oracle Cloud Infrastructure disposent de cartes d'interface réseau physique (NIC). Les instances de machine virtuelle communiquent à l'aide de cartes d'interface réseau virtuelle (VNIC) associées aux cartes d'interface réseau physiques. Chaque instance dispose d'une carte VNIC principale créée et jointe automatiquement lors du lancement et disponible pendant toute la durée de vie de l'instance. DHCP est offert uniquement à la carte VNIC principale. Vous pouvez ajouter des cartes d'interface réseau virtuelles secondaires après le lancement de l'instance. Vous devez définir des adresses IP statiques pour chaque interface.

  • IP privées

    Adresse IPv4 privée et informations connexes permettant de traiter une instance. Chaque carte d'interface réseau virtuelle possède une adresse IP privée principale et vous pouvez ajouter et supprimer des adresses IP privées secondaires. L'adresse IP privée principale d'une instance est jointe lors du lancement de l'instance et ne change pas pendant toute la durée de vie de l'instance. Les IP secondaires devraient également appartenir au même CIDR du sous-réseau de la carte d'interface réseau virtuelle. L'adresse IP secondaire est utilisée comme adresse IP flottante car elle peut se déplacer entre différentes cartes d'interface réseau virtuelles sur différentes instances au sein du même sous-réseau. Vous pouvez également l'utiliser comme adresse différente pour héberger différents services.

  • IP publiques

    Les services de réseau définissent une adresse IPv4 publique choisie par Oracle mappée avec une adresse IP privée.

    • Ephémérale : Cette adresse est temporaire et existe pendant toute la durée de vie de l'instance.
    • Réservé : cette adresse persiste au-delà de la durée de vie de l'instance. Il peut être désaffecté et réaffecté à une autre instance.
  • Vérification de source et de destination

    Chaque carte VNIC effectue la vérification de la source et de la destination sur son trafic réseau. La désactivation de cet indicateur permet à CGNS de gérer le trafic réseau qui n'est pas ciblé pour le pare-feu.

  • Forme de calcul

    La forme d'une instance de calcul indique le nombre d'UC et la quantité de mémoire allouée à l'instance. La forme de calcul détermine également le nombre de cartes VNIC et la bande passante maximale disponible pour l'instance de calcul.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour sécuriser les charges de travail Oracle E-Business Suite ou PeopleSoft sur Oracle Cloud Infrastructure à l'aide du pare-feu VM-Series Palo Alto Networks. Vos exigences peuvent différer de l'architecture décrite ici.
  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher à des sous-réseaux dans VCN. Utilisez les blocs CIDR qui se trouvent dans l'espace d'adresse IP privé standard.

    Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) auquel vous avez l'intention de configurer des connexions privées.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos besoins en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

    Utilisez des sous-réseaux régionaux.

    Vérifiez le nombre maximal de GPL par VCN dans vos limites de service, si vous souhaitez étendre cette architecture à plusieurs environnements et applications.

  • Pare-feu de série VM-Series Palo Alto Networks
    • Déployez un cluster actif/actif et, si nécessaire, ajoutez des instances supplémentaires.
    • Dans la mesure du possible, déployez dans des domaines de pannes distincts au minimum ou dans des domaines de disponibilité différents.
    • Assurez-vous que MTU est défini sur 9000 sur toutes les cartes VNIC.
    • Utilisez les interfaces VFIO.
  • Palo Alto Networks VM-Series Firewall Security Management
    • Si vous créez un déploiement hébergé dans Oracle Cloud Infrastructure, créez un sous-réseau dédié à la gestion.
    • Utilisez des listes de sécurité ou des NSG pour restreindre l'accès entrant aux ports 443 et 22 provenant d'Internet pour l'administration de la stratégie de sécurité et pour visualiser les journaux et les événements.
  • Palo Alto Networks VM-Series Politiques de pare-feu

    Vérifiez que vous avez configuré les stratégies de traduction d'adresse réseau requises activées sur les instances de pare-feu VM-Series. Reportez-vous à la documentation du pare-feu dans la section Explorer plus pour obtenir les informations les plus récentes sur les stratégies, ports et protocoles de sécurité requis.

Remarques

Lorsque vous sécurisez les charges de travail Oracle E-Business Suite ou PeopleSoft sur Oracle Cloud Infrastructure à l'aide du pare-feu VM-Series Palo Alto Networks, tenez compte des éléments suivants :

  • Performances
    • La sélection de la taille d'instance appropriée, déterminée par la forme de calcul, détermine le débit maximal disponible, l'UC, la RAM et le nombre d'interfaces.
    • Les organisations doivent savoir quels types de trafic traversent l'environnement, déterminer les niveaux de risque appropriés et appliquer des contrôles de sécurité appropriés au besoin. Différentes combinaisons de contrôles de sécurité activés ont une incidence sur les performances.
    • Envisagez d'ajouter des interfaces dédiées pour les services FastConnect ou VPN.
    • Envisagez d'utiliser de grandes formes de calcul pour un débit plus élevé et un accès à plus d'interfaces réseau.
    • Exécuter des tests de performance pour valider la conception peut supporter les performances et le débit requis.
  • Sécurité

    Le déploiement du pare-feu VM-Series Palo Alto Networks dans Oracle Cloud Infrastructure permet de centraliser la configuration des stratégies de sécurité et la surveillance de toutes les instances VM-Series physiques et virtuelles Palo Alto Networks.

  • Disponibilité
    • Déployez votre architecture dans des régions géographiques distinctes pour une redondance maximale.
    • Configurez les VPN site à site avec les réseaux organisationnels pertinents pour une connectivité redondante avec les réseaux sur site.
  • Coût
    • Le pare-feu de la série VM-Series Palo Alto Networks est disponible dans des modèles de licence BYOL et pay-as-you-go pour le Bundle 1 et le Bundle 2 dans Oracle Cloud Marketplace.
      • Le groupe 1 inclut la licence de capacité VM-Series, la licence de prévention des menaces et un droit de prise en charge premium.
      • Le groupe 2 inclut la licence de capacité VM-Series avec la suite complète de licences incluant la prévention des menaces, WildFire, le filtrage d'URL, la sécurité DNS, GlobalProtect et un droit de prise en charge premium.

Déployer

Vous pouvez déployer Palo Alto Networks VM-Series Firewall sur Oracle Cloud Infrastructure à l'aide d'Oracle Cloud Marketplace. Vous pouvez également télécharger le code à partir de Github et le personnaliser en fonction de vos besoins commerciaux spécifiques.

Oracle recommande de déployer l'architecture à partir d'Oracle Cloud Marketplace.

  • Déployer à l'aide de la pile dans Oracle Cloud Marketplace :
    1. Configurez l'infrastructure réseau requise comme indiqué dans le diagramme d'architecture. Reportez-vous à Configuration d'une topologie réseau hub-and-spoke.
    2. Déployez l'application (Oracle E-Business Suite ou PeopleSoft) sur votre environnement.
    3. Oracle Cloud Marketplace a plusieurs listes pour différentes configurations et exigences en matière de licences. Par exemple, la fonction listings suivante apporte votre propre licence (BYOL). Pour chaque liste que vous choisissez, cliquez sur Obtenir l'application et suivez les invites à l'écran :
  • Déployer à l'aide du code Terraform dans GitHub :
    1. Accédez au référentiel GitHub.
    2. Cloner ou télécharger le référentiel sur votre ordinateur local.
    3. Suivez les instructions du document README.

Explorer plus

En savoir plus sur les caractéristiques de cette architecture et sur les ressources connexes.