Charges de travail d'application sécurisées avec pare-feu VM-Series Palo Alto Networks

Déplacez ou étendez en toute sécurité les charges de travail des applications à partir d'Oracle E-Business Suite ou de PeopleSoft dans le cloud à l'aide des pare-feu virtuels de nouvelle génération de la série VM-Series Palo Alto Network (NGFW).

Palo Alto Networks VM-Series Les NGFW virtuels sécurisent les environnements multicloud en offrant une visibilité et un contrôle complets du trafic d'applications personnalisées, une gestion cohérente des pare-feu et de l'application des politiques dans les nuages croisés, une protection contre les menaces générée par la machine et une prévention de l'exfiltration, ainsi que des capacités automatisées de déploiement et de provisionnement pour suivre même les environnements les plus dynamiques.

La sécurité dans le cloud repose sur un modèle de responsabilité partagée. Oracle est responsable de la sécurité de l'infrastructure sous-jacente, telle que les installations du centre de données, et du matériel et des logiciels pour gérer les opérations et les services cloud. Les clients sont responsables de la sécurité de leurs charges de travail et de la configuration sécurisée de leurs services et applications afin de respecter leurs obligations en matière de conformité.

Les pare-feu VM-Series Palo Alto Networks offrent une prévention cohérente des menaces et une sécurité réseau en ligne dans les environnements cloud, aidant les équipes de sécurité réseau à retrouver la visibilité et le contrôle du trafic sur leurs réseaux cloud. Les principales fonctionnalités de la série de machines virtuelles Palo Alto Networks sont le pare-feu Layer 7, les abonnements de sécurité fournis par le cloud et la gestion de la sécurité consolidée.

Description de l'image pan-advanced-security.png

Architecture

Cette architecture de référence illustre comment les organisations peuvent protéger les applications Oracle, telles que Oracle E-Business Suite et PeopleSoft, déployées dans Oracle Cloud Infrastructure à l'aide des pare-feu de la série VM-Series Palo Alto Networks.

Pour protéger ces flux de trafic, Palo Alto Networks recommande de segmenter le réseau à l'aide d'une topologie de hub et d'haut-parleurs, où le trafic est acheminé par un hub central et est connecté à plusieurs réseaux distincts (haut-parleurs). Tout le trafic entre les rayons, qu'ils soient à destination ou en provenance d'Internet, à destination ou à destination du réseau Oracle Services, est acheminé à travers le hub et inspecté avec les technologies de prévention des menaces multicouches du pare-feu Palo Alto Networks VM-Series.

Déployez chaque niveau de votre application dans son propre réseau cloud virtuel (VCN), qui agit en tant que porte-parole. Le hub VCN contient un cluster de pare-feu VM-Series Palo Alto Networks, une passerelle Internet Oracle, une passerelle de routage dynamique (DRG), une passerelle de service Oracle et des passerelles d'appariement locales (LPG).

Le hub VCN se connecte aux VCN parlé via LPG ou en fixant des cartes d'interface réseau virtuelle secondaire (VNIC) au pare-feu de la série VM-Series Palo Alto Networks. Tout le trafic parlé utilise des règles de table de routage pour acheminer le trafic à travers les GPL vers le hub pour inspection par le cluster haute disponibilité du pare-feu VM-Series Palo Alto Networks.

Vous pouvez configurer et gérer le pare-feu de la série VM-Series Palo Alto Networks localement ou centralement à l'aide du système de gestion centralisée de la sécurité Panorama, Palo Alto Networks. Panorama aide les clients à réduire la complexité et les frais généraux administratifs dans la gestion de la configuration, des politiques, des logiciels et des mises à jour dynamiques du contenu. En utilisant des groupes de périphériques et des modèles sur Panorama, vous pouvez gérer efficacement la configuration propre au pare-feu localement sur un pare-feu et appliquer des stratégies partagées à tous les pare-feu ou groupes de périphériques.

Le diagramme suivant illustre cette architecture de référence.

Description de l'image palo_alto_nw_vm_oci.png

Trafic entrant Nord-Sud

Le diagramme suivant illustre comment le trafic entrant nord-sud accède au niveau d'application Web à partir d'Internet et des centres de données distants. Cette configuration garantit que la traduction d'adresse réseau (NAT) et les stratégies de sécurité sont ouvertes sur le pare-feu VM-Series Palo Alto Networks.

Description de l'image palo_alto_north_south_inbound.png

Trafic sortant Nord-Sud

Le diagramme suivant illustre comment les connexions sortantes des niveaux d'application Web et de base de données à Internet fournissent des mises à jour logicielles et un accès à des services Web externes. Cette configuration garantit que le NAT source est configuré dans votre stratégie de pare-feu VM-Series Palo Alto Networks pour les réseaux concernés.

Description de l'image palo_alto_north_South_outbound.png

Trafic Est-Ouest (Web vers la base de données)

Le diagramme suivant illustre comment le trafic passe de l'application Web au niveau de la base de données.

Description de l'image palo_alto_east_west_web_db.png

Trafic Est-Ouest (base de données vers le Web)

Le diagramme suivant illustre comment le trafic passe du niveau de base de données à l'application Web.

Description de l'image palo_alto_east_west_db_web.png

Trafic Est-Ouest (Application Web au réseau Oracle Services)

Le diagramme suivant illustre comment le trafic passe de l'application Web au réseau Oracle Services. Cette configuration garantit que vous avez activé Jumbo Frames sur les interfaces de pare-feu VM-Series Palo Alto Networks.

Description de l'image palo_alto_east_west_webapp_osn.png

Trafic Est-Ouest (Oracle Services Network to Web Application)

Le diagramme suivant illustre comment le trafic passe du réseau Oracle Services à l'application Web.

Description de l'image palo_alto_east_west_osn_webapp.png

L'architecture comporte les composants suivants :

• Pare-feu Palo Alto Networks VM-Series

  Fournit toutes les capacités des pare-feu physiques de prochaine génération sous forme de machine virtuelle (VM), assurant la sécurité du réseau en ligne et la prévention des menaces afin de protéger systématiquement les nuages publics et privés.

• Niveau d'application Oracle E-Business Suite ou PeopleSoft

  Composé de serveurs d'applications et de systèmes de fichiers Oracle E-Business Suite ou PeopleSoft.

• Niveau de base de données Oracle E-Business Suite ou PeopleSoft

  Composé d'Oracle Database, mais non limité au service Oracle Database Exadata Cloud Service ou aux services Oracle Database.

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique localisée contenant un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (d'un pays à l'autre ou même d'un continent à l'autre).

• Domaines de disponibilité

  Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui offre une tolérance aux pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement, ni le réseau de domaine de disponibilité interne. Il est donc peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

• Domaines d'erreur

  Un domaine de pannes est un regroupement de matériel et d'infrastructure au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous distribuez des ressources dans plusieurs domaines de panne, vos applications peuvent tolérer les pannes physiques du serveur, la maintenance du système et les pannes d'alimentation dans un domaine de panne.

• Réseau cloud virtuel (VCN) et sous-réseaux

  Un VCN est un réseau personnalisé et défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de datacenters traditionnels, les VCN vous donnent un contrôle complet sur votre environnement réseau. Un VCN peut avoir plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être étendus à une région ou à un domaine de disponibilité. Chaque sous-réseau se compose d'une plage d'adresses contiguë qui ne chevauchent pas les autres sous-réseaux de VCN. Vous pouvez modifier la taille d'un sous-réseau après la création. Un sous-réseau peut être public ou privé.

• Hub VCN

  Le hub VCN est un réseau centralisé où les pare-feu VM-Series Palo Alto Networks sont déployés. Il fournit une connectivité sécurisée à tous les VCN parlé, aux services Oracle Cloud Infrastructure, aux adresses publiques et aux clients, ainsi qu'aux réseaux de centres de données sur site.

• VCN parlé au niveau de l'application

  VCN de niveau application contient un sous-réseau privé pour héberger les composants Oracle E-Business Suite ou PeopleSoft.

• VCN de niveau de base de données

  VCN de niveau base de données contient un sous-réseau privé pour l'hébergement des bases de données Oracle.

• Equilibreur de charge

  Le service Oracle Cloud Infrastructure Load Balancing fournit une distribution automatisée du trafic à partir d'un point d'entrée unique vers plusieurs serveurs dans le back-end.

• Liste de sécurité

  Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés dans et hors du sous-réseau.

• Table de routage

  Les tables de routage virtuelles contiennent des règles pour acheminer le trafic de sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

  Dans le hub VCN, vous disposez des tables de routage suivantes :

  • Table de routage de gestion attachée au sous-réseau de gestion ayant une route par défaut connectée à la passerelle Internet.
  • Table de routage jusqu'à ce qu'elle soit attachée au sous-réseau non sécurisé ou à VCN par défaut pour acheminer le trafic du hub VCN vers Internet ou les cibles sur site.
  • Tableau d'acheminement de confiance joint au sous-réseau de fiducie pointant vers le bloc CIDR des VCN parlé par l'intermédiaire des GPL associés.
  • Table de routage haute disponibilité attachée au sous-réseau haute disponibilité, qui gère la haute disponibilité entre les instances VM-Series Firewall Palo Alto Networks.
  • Pour chaque haut-parleur attaché au hub, une table de routage distincte est définie et attachée à un GPL associé. Cette table de routage transmet tout le trafic (0.0.0.0/0) à partir du GPL parlé associé via l'interface de confiance VM-Series Firewall de Palo Alto Networks flottante IP.
  • Table d'acheminement de passerelle de service Oracle attachée à la passerelle de service Oracle pour la communication Oracle Services Network. Cette route transmet tout le trafic (0.0.0.0/0) à l'interface de confiance VM-Series Firewall de Palo Alto Networks flottante IP.
  • Pour maintenir la symétrie du trafic, des routes sont également ajoutées à chaque pare-feu VM-Series Palo Alto Networks pour pointer le bloc CIDR du trafic parlé vers l'adresse IP de passerelle par défaut du sous-réseau trust (IP de passerelle par défaut disponible dans le sous-réseau trust du hub VCN).
• Passerelle Internet

  La passerelle Internet permet le trafic entre les sous-réseaux publics dans un VCN et Internet public.

• Passerelle NAT (Network Address Translation)

  Une passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet, sans exposition à ces ressources aux connexions Internet entrantes.

• Passerelle d'appairage local (GPL)

  Un GPL vous permet d'apparier un VCN avec un autre VCN dans la même région. Peering signifie que les VCN communiquent à l'aide d'adresses IP privées, sans le trafic traversant Internet ou le routage via votre réseau sur site.

• Passerelle de routage dynamique (DRG)

  DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

• Passerelle de service

  La passerelle de service fournit l'accès d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic entre VCN et le service Oracle parcourt le tissu réseau Oracle et ne traverse jamais Internet.

• FastConnect

  Oracle Cloud Infrastructure FastConnect offre un moyen facile de créer une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect offre des options de bande passante plus élevées et une expérience réseau plus fiable par rapport aux connexions Internet.

• Virtual Network Interface Card (VNIC)

  Les services des centres de données Oracle Cloud Infrastructure possèdent des cartes d'interface réseau physique (NIC). Les instances de machine virtuelle communiquent à l'aide de cartes d'interface réseau virtuelles (VNIC) associées aux cartes d'interface réseau physiques. Chaque instance dispose d'une carte VNIC principale créée et jointe automatiquement lors du lancement et disponible pendant toute la durée de vie de l'instance. DHCP est offert uniquement à la carte VNIC principale. Vous pouvez ajouter des cartes VNIC secondaires après le lancement de l'instance. Vous devez définir des adresses IP statiques pour chaque interface.

• Adresses IP privées

  Adresse IPv4 privée et informations connexes permettant de traiter une instance. Chaque carte VNIC possède une adresse IP privée principale et vous pouvez ajouter et supprimer des adresses IP privées secondaires. L'adresse IP privée principale d'une instance est jointe lors du lancement de l'instance et ne change pas pendant la durée de vie de l'instance. Les adresses IP secondaires doivent également appartenir au même CIDR du sous-réseau de la carte VNIC. L'adresse IP secondaire est utilisée comme adresse IP flottante car elle peut se déplacer entre différentes cartes VNIC sur différentes instances du même sous-réseau. Vous pouvez également l'utiliser en tant qu'adresse différente pour héberger différents services.

• Adresses IP publiques

  Les services de réseau définissent une adresse IPv4 publique choisie par Oracle mappée avec une adresse IP privée.

  • Ephémérale : Cette adresse est temporaire et existe pendant toute la durée de vie de l'instance.
  • Réservé : cette adresse persiste au-delà de la durée de vie de l'instance. Il peut être désaffecté et réaffecté à une autre instance.
• Vérification de source et de destination

  Chaque VNIC effectue la vérification de la source et de la destination sur son trafic réseau. La désactivation de cet indicateur permet à CGNS de gérer le trafic réseau qui n'est pas ciblé pour le pare-feu.

• Forme de calcul

  La forme d'une instance de calcul indique le nombre d'UC et la quantité de mémoire allouée à l'instance. La forme de calcul détermine également le nombre de cartes VNIC et la bande passante maximale disponible pour l'instance de calcul.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour sécuriser les charges de travail Oracle E-Business Suite ou PeopleSoft sur Oracle Cloud Infrastructure à l'aide du pare-feu VM-Series Palo Alto Networks. Vos exigences peuvent différer de l'architecture décrite ici.

• VCN

  Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher à des sous-réseaux dans VCN. Utilisez les blocs CIDR qui se trouvent dans l'espace d'adresse IP privé standard.

  Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) auquel vous souhaitez configurer des connexions privées.

  Une fois que VCN a été créé, vous pouvez modifier, ajouter et enlever ses blocs CIDR.

  Lorsque vous concevez les sous-réseaux, tenez compte de vos besoins en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  Utilisez des sous-réseaux régionaux.

  Vérifiez le nombre maximal de GPL par VCN dans vos limites de service, au cas où vous souhaitez étendre cette architecture à plusieurs environnements et applications.

• Pare-feu de série VM-Series Palo Alto Networks
  • Déployez un cluster haute disponibilité.
  • Dans la mesure du possible, déployez dans des domaines de pannes distincts au minimum ou dans des domaines de disponibilité différents.
  • Assurez-vous que MTU est défini sur 9000 sur toutes les cartes VNIC.
  • Utiliser des interfaces VFIO.
• Palo Alto Networks VM-Series Firewall Security Management
  • Si vous créez un déploiement hébergé dans Oracle Cloud Infrastructure, créez un sous-réseau dédié à la gestion.
  • Utilisez des listes de sécurité ou des NSG pour restreindre l'accès entrant aux ports 443 et 22 provenant d'Internet pour l'administration de la stratégie de sécurité et pour visualiser les journaux et événements.
• Stratégies de pare-feu de série VM-Series Palo Alto Networks

  Reportez-vous à la documentation relative au pare-feu de la section Explorer plus pour obtenir les informations les plus récentes sur les stratégies, ports et protocoles de sécurité requis.

Remarques

Lors de la sécurisation des charges de travail Oracle E-Business Suite ou PeopleSoft sur Oracle Cloud Infrastructure à l'aide du pare-feu VM-Series Palo Alto Networks, tenez compte des éléments suivants :

• Performances
  • La sélection de la taille d'instance appropriée, déterminée par la forme de calcul, détermine le débit maximal disponible, l'UC, la RAM et le nombre d'interfaces.
  • Les organisations doivent savoir quels types de trafic traverse l'environnement, déterminer les niveaux de risque appropriés et appliquer des contrôles de sécurité appropriés au besoin. Différentes combinaisons de contrôles de sécurité activés ont une incidence sur les performances.
  • Envisagez d'ajouter des interfaces dédiées pour les services FastConnect ou VPN.
  • Envisagez d'utiliser de grandes formes de calcul pour un débit plus élevé et un accès à plus d'interfaces réseau.
  • Exécuter des tests de performance pour valider la conception peut supporter les performances et le débit requis.
• Sécurité
  • Le déploiement du pare-feu de la série VM-Series Palo Alto Networks dans Oracle Cloud Infrastructure permet de centraliser la configuration des stratégies de sécurité et la surveillance de toutes les instances VM-Series physiques et virtuelles Palo Alto Networks.
  • Définir un groupe ou une stratégie dynamique Identity and Access Management (IAM) distinct par déploiement de cluster.
• Disponibilité
  • Déployez votre architecture dans des régions géographiques distinctes pour une redondance maximale.
  • Configurez les VPN site à site avec les réseaux organisationnels pertinents pour une connectivité redondante avec les réseaux sur site.
• Coût
  • Le pare-feu de la série VM-Series Palo Alto Networks est disponible dans des modèles de licence BYOL et pay-as-you-go pour le Bundle 1 et le Bundle 2 dans Oracle Cloud Marketplace.
    • Le lot 1 inclut la licence de capacité VM-Series, la licence de prévention des menaces et un droit de prise en charge premium.
    • Le groupe 2 inclut la licence de capacité VM-Series avec la suite complète de licences incluant la prévention des menaces, WildFire, le filtrage d'URL, la sécurité DNS, GlobalProtect et un droit de prise en charge premium.

Déployer

Le code permettant de sécuriser les charges de travail Oracle E-Business Suite ou PeopleSoft sur Oracle Cloud Infrastructure à l'aide du pare-feu série VM-Series Palo Alto Networks est disponible sous forme de pile dans Oracle Cloud Marketplace.Vous pouvez également télécharger le code à partir de GitHub, et le personnaliser en fonction de vos besoins commerciaux spécifiques.

Oracle recommande de déployer l'architecture à partir d'Oracle Cloud Marketplace.

• Déployer à l'aide de la pile dans Oracle Cloud Marketplace :
  1. Configurez l'infrastructure réseau requise comme indiqué dans le diagramme de l'architecture. Reportez-vous à Configuration d'une topologie réseau en étoile et en étoile à l'aide de passerelles d'appairage locales.
  2. Déployez l'application (Oracle E-Business Suite ou PeopleSoft) sur votre environnement.
  3. Oracle Cloud Marketplace dispose de plusieurs piles pour différentes configurations et exigences de licence. Par exemple, la fonctionnalité piles suivante apporte votre propre licence (BYOL). Pour chaque pile que vous choisissez, cliquez sur Obtenir l'application et suivez les invites à l'écran :
     • Pare-feu Palo Alto Networks VM Series - BYOL.
     • Pare-feu Palo Alto Networks VM Series - Listes.
• Déployer à l'aide du code Terraform dans GitHub:
  1. Accédez au référentiel GitHub.
  2. Cloner ou télécharger le référentiel sur votre ordinateur local.
  3. Suivez les instructions du document README.

Explorer plus

En savoir plus sur les caractéristiques de cette architecture et sur les ressources connexes.

• Structure des meilleures pratiques pour Oracle Cloud Infrastructure

• Pour plus d'informations sur le déploiement d'Oracle E-Business Suite sur Oracle Cloud Infrastructure

• En savoir plus sur le déploiement de PeopleSoft sur Oracle Cloud Infrastructure

• Guide de sécurité Oracle Cloud Infrastructure