Sécurisez vos charges de travail s'exécutant sur Oracle Cloud Infrastructure avec FortiGate

Oracle Cloud Infrastructure (OCI) offre des processus opérationnels et des technologies de sécurité de pointe pour sécuriser ses services Cloud d’entreprise. Toutefois, la sécurité dans le Cloud repose sur un modèle de responsabilité partagée. Oracle est responsable de la sécurité de l’infrastructure sous-jacente, notamment des installations de centre de données, du matériel et des logiciels permettant de gérer les opérations et services cloud. Les clients sont chargés de sécuriser leurs charges de travail et de configurer leurs services et applications en toute sécurité afin de respecter leurs obligations de conformité.

Les entreprises se tournent vers l'infrastructure cloud de génération 2 d'Oracle pour créer de nouvelles applications, étendre les centres de données internes et, au final, tirer parti de l'élasticité du cloud public. Ces mêmes entreprises se tournent vers Fortinet pour aider à protéger leurs applications et leurs données dans OCI.

Les solutions Adaptive Cloud Security de Fortinet protègent les charges de travail et les applications dans les centres de données sur site et les environnements cloud grâce à une sécurité multicouche pour les applications cloud. Fortinet Security Fabric couvre les centres de données et les clouds afin de fournir une vue consolidée de l'état de sécurité, une console unique pour la gestion des stratégies et le reporting de gouvernance, et la surveillance des événements quelle que soit l'infrastructure physique, virtuelle ou cloud sur des clouds privés, publics et hybrides.

Les solutions Fortinet sont disponibles sur Oracle Cloud Marketplace à la demande et dans les listes BYOL (apportez votre propre licence).

Architecture

Cette architecture de référence illustre la manière dont les organisations peuvent protéger les applications Oracle, comme Oracle E-Business Suite et PeopleSoft, déployées dans OCI à l'aide d'un pare-feu FortiGate et d'une conception simplifiée avec une passerelle de routage dynamique (DRG).

Pour protéger ces flux de trafic, Fortinet recommande de segmenter le réseau à l'aide d'une topologie hub et satellite, où le trafic est acheminé via un hub de transit et est connecté à plusieurs réseaux distincts (spokes). Assurez-vous d'avoir déployé un cluster FortiGate haute disponibilité. Tout le trafic entre les rayons, qu'ils soient à destination ou en provenance d'Internet, vers et à partir d'un système on-premise ou vers Oracle Services Network est acheminé via le hub et inspecté avec le pare-feu FortiGate de Fortinet qui fournit des fonctionnalités de pare-feu de nouvelle génération pour les organisations de toutes tailles, avec la flexibilité nécessaire pour être déployé en tant que pare-feu de nouvelle génération, pare-feu de segmentation interne ou passerelle de réseau privé virtuel (VPN). Il protège contre les cybermenaces avec des performances élevées, une efficacité en matière de sécurité et une visibilité étendue.

Déployez chaque niveau de votre application dans son propre réseau cloud virtuel (VCN), qui fait office de réseau satellite. Le VCN du hub contient un cluster FortiGate actif-passif à haute disponibilité, une passerelle Internet Oracle, DRG et Oracle Service Gateway.

Cette architecture peut fournir une conception hautement évolutive et modulaire permettant de connecter plusieurs rayons, chaque réseau satellite représentant un niveau d'application, tel que Web, d'application et de base de données. Il fonctionne dans un environnement unique, comme la production, les tests et le développement, ainsi que dans différentes infrastructures, telles que les régions, le centre de données sur site et le multicloud.

Le VCN de hub se connecte aux réseaux cloud virtuels de satellite via DRG. Tout le trafic satellite utilise des règles de table de routage pour acheminer le trafic via le DRG vers le hub à l'aide de la table de routage entrante VCN vers le pare-feu FortiGate à des fins d'inspection.

Vous pouvez également gérer le pare-feu FortiGate à l'aide de FortiManager. FortiManager's Single Pane Management fournit une stratégie de gestion et de provisionnement centralisée reposant sur la structure de sécurité de Fortinet qui intègre étroitement l'infrastructure réseau et l'architecture de sécurité d'une organisation afin d'appliquer le contrôle d'accès, la segmentation et une protection cohérente des périphériques, des applications et des utilisateurs.

Le diagramme suivant illustre cette architecture de référence.

Description de l'illustration fortigate-oci-arch.png

Pour chaque flux de trafic, assurez-vous que les stratégies de sécurité, les traductions d'adresse réseau et les routes sont présentes sur les pare-feu FortiGate.

• Trafic entrant Nord-Sud

  Le schéma suivant illustre comment le trafic entrant nord-sud accède au niveau de l'application Web à partir d'Internet et de centres de données distants.

  
  Description de l'illustration fort-oci-ns-inbound.png

• Trafic sortant Nord-Sud

  Le schéma suivant illustre comment les connexions sortantes des niveaux application Web et base de données vers Internet fournissent des mises à jour logicielles et un accès à des services Web externes.

  
  Description de l'illustration fort-oci-ns-outbound.png

• Trafic East-west (Web vers base de données)

  Le schéma suivant illustre comment le trafic passe de l'application Web au niveau de la base de données.

  
  Description de l'illustration fort-oci-ew-w2db.png

• Trafic East-west (base de données vers le Web)

  Le schéma suivant illustre comment le trafic passe du niveau de base de données à l'application Web.

  
  Description de l'illustration fort-oci-ew-db2w.png

• Trafic East-west (application Web vers Oracle Services Network)

  Le diagramme suivant illustre le déplacement du trafic de l'application Web vers Oracle Services Network.

  
  Description de l'illustration fort-oci-ew-w2osn.png

• Trafic East-west (Oracle Services Network to Web Application)

  Le schéma suivant illustre comment le trafic passe d'Oracle Services Network à l'application Web.

  
  Description de l'illustration fort-oci-ew-osn2w.png

L'architecture comporte les composants suivants :

• Pare-feu de nouvelle génération Fortinet FortiGate

  Fournit des services réseau et de sécurité, tels que la protection contre les menaces, l’inspection SSL et une latence ultra-faible, pour protéger les segments internes et les environnements stratégiques. Il prend en charge la virtualisation directe d'E/S à root unique (SR-IOV) pour améliorer les performances. FortiGate peut être déployé directement à partir d'Oracle Cloud Marketplace.

• Fortinet FortiManager

  Offre une gestion à partir d’un seul écran sur l’ensemble du réseau et fournit des vues historiques et en temps réel sur l’activité du réseau.

• Niveau d’application Oracle E-Business Suite ou PeopleSoft

  Composé des serveurs d'applications Oracle E-Business Suite ou PeopleSoft et du système de fichiers.

• Niveau base de données Oracle E-Business Suite ou PeopleSoft

  Composé du service Oracle Database, mais pas limité au service Oracle Exadata Database Cloud ou à Oracle Database.

• Région

  Une région OCI est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes d'autres régions et de grandes distances peuvent les séparer (entre les pays voire les continents).

• Domaine de disponibilité

  Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure la tolérance de pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement ou le réseau interne du domaine de disponibilité. Par conséquent, il est improbable qu'un problème affecte les autres domaines de disponibilité de la région.

• Domaine de pannes

  Un domaine de panne est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous distribuez des ressources entre plusieurs domaines de pannes, vos applications peuvent tolérer les pannes de serveur physique, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.

• Réseau cloud virtuel (VCN) et sous-réseau

  Un VCN est un réseau personnalisable et défini par logiciel que vous configurez dans une région OCI. Comme les réseaux cloud virtuels traditionnels, vous bénéficiez d'un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

• VCN du hub

  Le VCN hub est un réseau centralisé sur lequel les instances de pare-feu Fortinet FortiGate sont déployées. Elle fournit une connectivité sécurisée à tous les réseaux cloud virtuels satellite, services OCI, adresses publiques et clients, ainsi qu'aux réseaux de centre de données sur site.

• VCN parlé au niveau application

  Le VCN par satellite du niveau application contient un sous-réseau privé qui héberge des composants Oracle E-Business Suite ou PeopleSoft.

• VCN appelé niveau base de données

  Le VCN par satellite du niveau de base de données contient un sous-réseau privé pour l’hébergement de bases de données Oracle.

• Equilibreur de charge

  Le service OCI Load Balancing fournit une distribution automatisée du trafic d'un point d'entrée unique à plusieurs serveurs dans le back-end.

• Liste de sécurité

  Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés en entrée et en sortie du sous-réseau.

• Table de routage
  Les tables de routage virtuel contiennent des règles permettant d'acheminer le trafic des sous-réseaux vers des destinations situées en dehors d'un VCN, généralement via des passerelles. Dans le VCN du hub, vous disposez des tables de routage suivantes :

  • Table de routage de gestion connectée au sous-réseau de gestion, avec une route par défaut connectée à la passerelle Internet
  • Table de routage non sécurisée attachée au sous-réseau non sécurisé ou au VCN par défaut pour le routage du trafic du VCN de hub vers des cibles Internet ou on-premise. Cette table de routage contient également des entrées pour chaque routage de bloc CIDR de réseaux cloud virtuels satellite via des passerelles de routage dynamique.
  • Table de routage de confiance attachée au sous-réseau de confiance pointant vers le bloc CIDR des réseaux cloud virtuels satellite via des passerelles de routage dynamique
  • Table de routage haute disponibilité attachée au sous-réseau haute disponibilité au bloc CIDR dans lequel vous souhaitez envoyer le trafic
  • La table de routage entrante VCN de hub est attachée à la liaison VCN de hub pour envoyer tout trafic entrant provenant des réseaux cloud virtuels de satellite via la passerelle de routage dynamique vers l'adresse IP flottante de l'interface de gestion de pare-feu FortiGate
  • Pour chaque rayon attaché au hub via des passerelles de routage dynamique, une table de routage distincte est définie et attachée à un sous-réseau associé. Cette table de routage transfère tout le trafic (0.0.0.0/0) depuis le VCN satellite associé vers les passerelles de routage dynamique via l'adresse IP flottante de l'interface de sécurité de pare-feu FortiGate.
  • Table de routage de passerelle de service Oracle associée à la passerelle de service Oracle pour la communication réseau Oracle Service. Cette route transfère tout le trafic (0.0.0.0/0) vers l'adresse IP flottante de l'interface de sécurité de pare-feu FortiGate.

  Pour maintenir la symétrie du trafic, des routes sont également ajoutées à chaque pare-feu FortiGate pour pointer le bloc CIDR du trafic du VCN satellite vers l'adresse IP de passerelle par défaut du sous-réseau sécurisé (première adresse IP du sous-réseau sécurisé sur le VCN du hub) et le bloc CIDR par défaut (0.0.0.0/0) pour pointer vers l'adresse IP de passerelle par défaut du sous-réseau non sécurisé (première adresse IP du sous-réseau non sécurisé sur le VCN du hub).
• Passerelle Internet

  La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

• Passerelle NAT

  La passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet sans les exposer aux connexions Internet entrantes.

• Passerelle de routage dynamique

  Le DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région OCI, un réseau sur site ou un réseau dans un autre fournisseur cloud.

• Passerelle de service

  La passerelle de service fournit l'accès d'un VCN à d'autres services, tels qu'OCI Object Storage. Le trafic du VCN vers le service Oracle circule sur la structure réseau Oracle et ne parcourt jamais Internet.

• FastConnect

  OCI FastConnect est un moyen facile de créer une connexion privée dédiée entre votre centre de données et OCI. FastConnect fournit des options de bande passante plus élevée et une expérience de réseau plus fiable par rapport aux connexions Internet.

• Carte d'interface réseau virtuelle (VNIC)

  Les services des centres de données OCI disposent de cartes d'interface réseau (NIC) physiques. Les instances de machine virtuelle communiquent à l'aide des cartes d'interface réseau virtuelles (VNIC) associées aux cartes d'interface réseau physiques. Chaque instance dispose d'une VNIC principale créée et attachée automatiquement lors du lancement et disponible pendant la durée de vie de l'instance. DHCP est uniquement proposé à la carte d'interface réseau virtuelle principale. Vous pouvez ajouter des VNIC secondaires après le lancement de l'instance. Définissez des adresses IP statiques pour chaque interface.

• IP privées

  Adresse IPv4 privée et informations associées pour l'adressage d'une instance. Chaque carte d'interface réseau virtuelle est dotée d'une adresse IP privée principale. Vous pouvez également ajouter et enlever des adresses IP privées secondaires. L'adresse IP privée principale d'une instance est attachée lors du lancement de l'instance et ne change pas pendant la durée de vie de l'instance. Les adresses IP secondaires appartiennent également au même CIDR que le sous-réseau de la carte d'interface réseau virtuelle. L'adresse IP secondaire est utilisée comme adresse IP flottante car elle peut se déplacer entre différentes cartes d'interface réseau virtuelles sur différentes instances au sein du même sous-réseau. Vous pouvez également l'utiliser comme adresse différente pour héberger différents services.

• Adresses IP publiques

  Les services réseau définissent une adresse IPv4 publique choisie par Oracle mappée avec une adresse IP privée. Les adresses IP publiques sont de type Ephemeral : cette adresse est temporaire et existe pendant toute la durée de vie de l'instance. Réservé : cette adresse persiste au-delà de la durée de vie de l'instance. Elles peuvent être réaffectées à une autre instance.

• Vérification de la source et de la destination

  Chaque VNIC exécute la vérification de source et de destination sur son trafic réseau. La désactivation de cet indicateur permet aux pare-feu Fortinet FortiGate de gérer le trafic réseau non ciblé pour le pare-feu.

• Forme de calcul

  La forme d'une instance de calcul indique le nombre d'UC et la quantité de mémoire allouées à l'instance. La forme Compute détermine également le nombre de cartes d'interface réseau virtuelles et la bande passante maximale disponibles pour l'instance Compute.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour sécuriser les charges de travail Oracle E-Business Suite ou PeopleSoft sur OCI à l'aide du pare-feu Fortinet FortiGate. Vos besoins peuvent être différents de ceux de l'architecture décrite ici.

• VCN

  Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR compris dans l'espace d'adresse IP privée standard.

  Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) auquel vous souhaitez configurer des connexions privées.

  Une fois que vous avez créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

  Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

  Utilisez des sous-réseaux régionaux. Connectez vos réseaux cloud virtuels satellite selon vos besoins afin de pouvoir envoyer du trafic à vos pare-feu VCN FortiGate hub. Définissez les tables de routage de destination et de départ du pare-feu sur chaque attachement VCN de passerelles de routage dynamique.

• Pare-feu Fortinet FortiGate
  • Déployez un cluster actif-passif et, si nécessaire, ajoutez d'autres instances.
  • Lorsque cela est possible, déployez dans des domaines de pannes distincts à un minimum ou à des domaines de disponibilité différents.
  • Assurez-vous que la MTU est définie sur 9000 sur toutes les VNIC.
  • Utilisez des interfaces d'E/S de fonction virtuelle (VFIO).
• Gestion de pare-feu Fortinet FortiGate
  • Si vous créez un déploiement hébergé dans OCI, créez un sous-réseau dédié pour la gestion.
  • Utilisez des listes de sécurité ou des groupes de sécurité réseau pour restreindre l'accès entrant aux ports 443 et 22 provenant d'Internet pour l'administration de la stratégie de sécurité et pour afficher les journaux et les événements.
• Stratégies de pare-feu

  Pour obtenir des informations à jour sur les stratégies de sécurité, les ports et les protocoles requis, reportez-vous à la documentation du pare-feu dans la section Explore More. Restez à jour et assurez-vous que vous avez configuré les stratégies de traduction d'adresse réseau/de sécurité requises activées sur les instances de pare-feu Fortinet FortiGate.

Remarques

Lors de la sécurisation des charges de travail Oracle E-Business Suite ou PeopleSoft sur OCI à l'aide du pare-feu Fortinet FortiGate, prenez en compte les facteurs suivants :

• Performances
  • La sélection de la taille d'instance appropriée, déterminée par la forme Compute, détermine le débit maximal disponible, l'UC, la RAM et le nombre d'interfaces.
  • Les entreprises doivent savoir quels types de trafic traversent l'environnement, déterminer les niveaux de risque appropriés et appliquer les contrôles de sécurité appropriés selon les besoins. Différentes combinaisons de contrôles de sécurité activés ont un impact sur les performances.
  • Envisagez d'ajouter des interfaces dédiées pour les services VPN ou FastConnect. Envisagez d'utiliser des formes de calcul volumineuses pour un débit plus élevé et un accès à davantage d'interfaces réseau.
  • Exécutez des tests de performance pour valider la conception afin de maintenir les performances et le débit requis.
• Sécurité

  Le déploiement de Fortinet FortiManager dans OCI permet une configuration et une surveillance centralisées des stratégies de sécurité de tous les pare-feu Fortinet FortiGate physiques et virtuels.

• Disponibilité

  Déployez votre architecture dans des régions géographiques distinctes pour une redondance maximale. Configurer des VPN site à site avec des réseaux organisationnels pertinents pour une connectivité redondante avec des réseaux sur site.

• Coût

  Fortinet FortiGate propose des listes de paiement à l'utilisation ou d'utilisation de votre propre licence (BYOL) dans Oracle Cloud Marketplace, et FortiManager est disponible dans les listes BYOL dans Oracle Cloud Marketplace.

déploiement

Vous pouvez déployer le pare-feu FortiGate sur OCI à l'aide d'Oracle Cloud Marketplace. Vous pouvez également télécharger le code à partir de GitHub et le personnaliser en fonction des besoins spécifiques de votre entreprise pour déployer cette architecture. Oracle recommande de déployer l'architecture à partir d'Oracle Cloud Marketplace.Vous pouvez également télécharger le code à partir de GitHub et le personnaliser en fonction de vos besoins.

• Déployer à l'aide de la pile dans Oracle Cloud Marketplace :
  1. Configurez l'infrastructure réseau requise comme indiqué dans le diagramme de l'architecture.
  2. Déployez l'application (Oracle E-Business Suite ou PeopleSoft) dans votre environnement.
  3. Oracle Cloud Marketplace dispose de plusieurs listes pour différentes configurations et exigences de licence. Par exemple, la fonction d'énumération suivante utilise votre propre licence (BYOL). Pour chaque liste que vous choisissez, cliquez sur Obtenir l'application et suivez les invites à l'écran :
     • Listes Fortinet FortiGate BYOL
     • FortiManager Gestion centralisée de la sécurité (BYOL)
     • Liste Fortinet Marketplace
• Effectuez un déploiement en utilisant le code Terraform dans GitHub :
  1. Accédez à GitHub.
  2. Clonez ou téléchargez le référentiel sur votre ordinateur local.
  3. Suivez les instructions du document README.

Voir plus

En savoir plus sur l'utilisation de FortiGate avec Oracle Cloud Infrastructure.

Documents de référence Oracle Cloud Infrastructure :

• Structure des meilleures pratiques pour Oracle Cloud Infrastructure
• Présentation de la sécurité d'Oracle Cloud Infrastructure
• En savoir plus sur le déploiement d'Oracle E-Business Suite sur Oracle Cloud Infrastructure
• En savoir plus sur le déploiement de PeopleSoft sur Oracle Cloud Infrastructure
• En savoir plus sur l'utilisation de la passerelle de routage dynamique pour piloter le trafic vers un pare-feu
• Déployez les pare-feu FortiGate et sécurisez vos charges de travail sur OCI Workshop

Matériaux de référence Fortinet FortiGate :

• Guide d'administration Oracle Cloud Infrastructure de FortiGate
• Secure Oracle PeopleSoft Suite with Fortinet Security Fabric
• Fortinet FortiGate - Architecture Hub & Spoke