Nota:
- Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
- Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.
Proteggi i carichi di lavoro di Oracle Cloud VMware Solution con Oracle Cloud Infrastructure Network Firewall
Introduzione
Questo documento descrive come utilizzare Oracle Cloud Infrastructure (OCI) Network Firewall per proteggere i carichi di lavoro in esecuzione in Oracle Cloud VMware Solution. Oracle Cloud VMware Solution consente di creare e gestire VMware Software-Defined Data Center (SDDC) in OCI.
OCI Network Firewall può essere distribuito come modello distribuito o modello di transito. In questa esercitazione verrà distribuito il modello Transit, in cui Network Firewall si trova nella VCN hub e nell'SDDC di Oracle Cloud VMware Solution in una VCN spoke. Grazie alle funzionalità di instradamento intra-VCN e in entrata di OCI Networking, puoi ispezionare il traffico tramite Network Firewall in esecuzione nella VCN hub.
Nota: anche se questa esercitazione presenta OCI Network Firewall, la maggior parte dei concetti deve essere applicata a qualsiasi altra appliance 3rd party come Fortinet, Palo Alto Networks, Cisco, Check Point e altro ancora. Il cliente deve collaborare con il fornitore/partner specifico per assicurarsi che sia supportato dal fornitore.
Casi d'uso
Le funzionalità di instradamento intra VCN OCI ci consentono di configurare l'instradamento per supportare il traffico del carico di lavoro OCI all'interno dei VCN. Inoltre, puoi utilizzare un firewall per ispezionare/proteggere il traffico. Verranno usate le funzionalità di instradamento intra-VCN e in entrata che includono:
-
Instradamento VCN: consente di modificare l'instradamento diretto per il traffico intra-VCN con gli instradamenti definiti. Potrai definire gli instradamenti a livello di subnet.
-
Instradamento di entrata di Internet Gateway/Network Address Translation Gateway: consente la definizione degli instradamenti per il traffico pubblico in entrata alla VCN verso un'istanza successiva selezionata dall'utente.
-
Miglioramento dell'instradamento in entrata di Software Gateway: consente di definire gli instradamenti per il gateway software in modo da instradare il traffico dai servizi OCI alle destinazioni all'interno della VCN.
In questa esercitazione verranno convalidati diversi scenari di traffico e le funzioni chiave supportate dal firewall di rete OCI:
-
Ispezione del traffico nord-sud tra OCI e NSX Overlay: traffico sicuro dalle VM del carico di lavoro NSX di OCI Native Compute alle VM del carico di lavoro Oracle Cloud VMware Solution.
-
Ispezione del traffico nord-sud tra l'overlay NSX e la rete Internet pubblica: traffico sicuro dai carichi di lavoro NSX di Oracle Cloud VMware Solution al traffico che si interfaccia con Internet.
-
Ispezione del traffico orientale all'interno delle subnet e delle VLAN OCI: traffico sicuro da OCI Native Comute VM a Oracle Cloud VMware Solution vSphere, ospitato sulla VLAN OCI.
-
Ispezione del traffico est-ovest all'interno delle subnet OCI: traffico sicuro dalla VM DB OCI all'host ESXi dell'SDDC di Oracle Cloud VMware Solution ospitato in una subnet OCI.
-
Convalida le funzioni di sicurezza del firewall di rete, tra cui la prevenzione delle intrusioni, il rilevamento delle intrusioni, il filtro degli URL e l'ispezione SSL in entrata.
Nota: non è possibile ispezionare il traffico est-ovest all'interno delle VM del carico di lavoro NSX utilizzando il modello Transiit. Se si desidera ispezionare tale traffico, si consiglia di distribuire la soluzione 3rd Party Partner all'interno dell'ambiente Oracle Cloud VMware Solution, non coperto da questa esercitazione.
Obiettivo
Questa esercitazione descrive la funzionalità di instradamento intra-VCN OCI con una soluzione OCI Network Firewall in un ambiente di soluzioni Oracle Cloud VMware. È stato descritto il caso d'uso dell'instradamento del cloud virtuale che semplifica la distribuzione del firewall nell'infrastruttura OCI.
Prerequisiti
- È possibile impostare una Topologia di rete Intra-VCN funzionante in base al diagramma della topologia.
- Un firewall di rete OCI funzionante nella VCN dell'hub:
- Puoi seguire questo workshop per acquisire familiarità con la soluzione OCI Network Firewall.
- Un ambiente SDDC Oracle Cloud VMware Solution di lavoro distribuito in una VCN dedicata consente di seguire la documentazione di Oracle Cloud VMware Solution. Per questa esercitazione è stato distribuito un SDDC a host singolo.
- In questa esercitazione, è stata distribuita una VM di bastion Linux e una VM host Windows Jump nelle rispettive subnet per descrivere i carichi di lavoro nativi OCI. Possono essere sostituite da qualsiasi altra VM che può ospitare un'applicazione o un database.
Nota: in un ambiente di produzione, è necessario distribuire i firewall in alta disponibilità.
Architettura
Per supportare questo caso d'uso, puoi fare riferimento alla topologia seguente.
Task 1: Configurare il firewall di rete OCI
Nelle sezioni riportate di seguito viene illustrata la configurazione minima richiesta del firewall di rete OCI. Per le configurazioni più avanzate, consulta la documentazione ufficiale.
-
Subnet e VLAN VCN: il primo passo è assicurarsi di aver creato VCN e subnet necessarie come descritto nella sezione Prerequisiti per supportare la topologia dello use case.
-
Puoi verificarli utilizzando la console OCI passando a Reti cloud virtuali, Dettagli rete cloud virtuale, Risorse.
- Subnet firewall-IAD per supportare Network Firewall in Hub-VCN
- Subnet-Bastion-IAD, JumpHost-Subnet-IAD subnet nell'hub-VCN per supportare le VM per le convalide del traffico
- Subnet DB-IAD nella subnet VCN IAD- DB-Spoke-VCN per supportare i carichi di lavoro DB
- Durante la distribuzione dell'SDDC di Oracle Cloud VMware Solution, devono essere state create le subnet e le VLAN appropriate
-
L'immagine riportata di seguito mostra Hub-VCN (Firewall-VCN-IAD) e le subnet associate.
-
Successivamente, è necessario distribuire il firewall di rete OCI distribuito nella subnet del firewall. Per ulteriori informazioni, consulta la documentazione ufficiale.
-
-
Regole dei criteri firewall di rete OCI: assicurarsi che vengano aggiunte le regole di sicurezza firewall necessarie per supportare il traffico dei casi d'uso. Per ulteriori informazioni su come configurare le regole, consulta la documentazione ufficiale.
-
Firewall di rete OCI: nell'hub-VCN distribuire il firewall di rete in base ai prerequisiti. Una volta che la VM del firewall è attiva, utilizzarla per proteggere il traffico.
-
Tabelle di instradamento per VCN, subnet, VLAN e collegamenti DRG: è necessario configurare le tabelle di instradamento in modo che riflettano le regole di instradamento corrette per la topologia use case. A livello avanzato, è necessario modificare le tabelle di instradamento nei VCN come indicato di seguito.
-
Firewall-VCN
- Tabella di instradamento della subnet del firewall: crea voci con ogni CIDR della subnet come destinazione e destinazione sotto forma di gateway Internet, gateway nat, gateway dei servizi o DRG.
- Tabella di instradamento della subnet del bastion pubblico: crea voci con ogni CIDR della subnet come destinazione e destinazione come indirizzo IP del firewall di rete.
- Tabella di instradamento subnet JumpHost privata: crea voci con ogni CIDR della subnet come destinazione e destinazione come indirizzo IP del firewall di rete.
- Tabella di instradamento in entrata VCN: creare voci con ogni CIDR di destinazione e la destinazione come indirizzo IP del firewall per ispezionare il traffico dai VCN spoke.
-
VCN Oracle Cloud VMware Solution
- Tabella di instradamento dell'SDDC della subnet: crea voci con ogni CIDR della subnet come destinazione e destinazione come DRG.
- vSphere Tabella di instradamento VLAN: crea voci con ogni CIDR della subnet come destinazione e destinazione come DRG.
- Tabella di instradamento VLAN Uplink 1 di NSX Edge: crea voci con ogni CIDR della subnet come destinazione e destinazione sotto forma di DRG.
- Tabella di instradamento in entrata VCN: creare voci con ogni destinazione sovrappone i CIDR e la destinazione come indirizzo IP NSX-EDGE-UPLINK per garantire che il traffico venga restituito agli host di overlay.
-
VCN DB
- Tabella di instradamento della subnet DB: crea voci con ogni CIDR della subnet come destinazione e destinazione come DRG per ispezionare il traffico tramite il firewall di rete OCI.
-
Collegamento VCN DRG
- Tabella di instradamento collegamenti firewall-VCN: creare voci con ogni CIDR del carico di lavoro NSX come destinazione e l'hop successivo come collegamento alla VCN di Oracle Cloud VMware Solution. Importa la distribuzione di instradamento con i criteri corrispondenti a Oracle Cloud VMware Solution e VCN DB.
- Tabella di instradamento collegamenti VCN di Oracle Cloud VMware Solution: creare le voci con ogni CIDR della subnet come destinazione e la destinazione come collegamento firewall-VCN per ispezionare il traffico tramite il firewall di rete OCI.
- Tabella di instradamento collegamenti DB: creare voci con ogni CIDR della subnet come destinazione e l'hop successivo come collegamento firewall-VCN per ispezionare il traffico tramite il firewall di rete OCI.
-
Nota: assicurarsi che venga utilizzata la simmetria del percorso in modo che il traffico venga ispezionato correttamente in entrambe le direzioni.
Task 2: Convalida e ispeziona il traffico dal firewall di rete OCI
A questo punto, puoi convalidare il traffico dalla VM Windows JumpHost, dalla VM Bastion, dall'ambiente SDDC di Oracle Cloud VMware Solution, dalle VM NSX Overlay e dalla VM DB Spoke ed esaminare il traffico dal firewall di rete OCI. L'immagine riportata di seguito mostra le VM richieste in esecuzione in base alla topologia dello use case.
Ispezione del traffico nord-sud da JumpBox VM Windows a VM NSX Overlay tramite instradamento intra-VCN (IVR)
-
Le funzionalità di instradamento IVR ti consentono di instradare il traffico all'interno della rete VCN e l'instradamento definito dall'utente all'IP privato del firewall. L'immagine seguente mostra il flusso di traffico logico e le diverse tabelle di instradamento associate per garantire che JumpHost Windows VM possa comunicare con le VM del carico di lavoro NSX di Oracle Cloud VMware Solution.
-
È già stato eseguito il PUSH della regola di sicurezza richiesta come riportato di seguito, in modo da garantire che il traffico venga ispezionato tramite firewall.
-
È possibile accedere alle VM del carico di lavoro di Oracle Cloud VMware Solution (172.16.X.X) da JumpHost VM Windows (10.40.1.160).
-
L'immagine riportata di seguito mostra i log del traffico sul firewall di rete OCI in base alle regole di sicurezza applicate.
Ispezione del traffico nord-sud dalla VM NSX Overlay a Internet tramite l'instradamento in entrata del gateway di rete
-
Le funzionalità di instradamento IVR e di instradamento in entrata di Network Gateway ti consentono di instradare il traffico all'interno di una VCN e di utilizzare un instradamento definito dall'utente a un gateway di conversione di indirizzi di rete. L'immagine riportata di seguito mostra il flusso di traffico logico e le diverse tabelle di instradamento utilizzate per abilitare i cicli di ingresso IVR e gateway di rete dalle VM del carico di lavoro di Oracle Cloud VMware Solution a Internet tramite OCI Network Firewall.
-
È già stato eseguito il PUSH della regola di sicurezza richiesta come riportato di seguito, in modo da garantire che il traffico venga ispezionato tramite firewall.
-
È possibile stabilire la connettività dalla VM del carico di lavoro NSX di Oracle Cloud VMware Solution (172.16.1.5) a Internet (info.cern.ch).
-
L'immagine riportata di seguito mostra i log del traffico sul firewall di rete OCI in base alle regole di sicurezza applicate.
Ispezione del traffico est-ovest da JumpBox VM Windows a vCenter tramite instradamento intra-VCN (IVR)
-
Le funzionalità di instradamento IVR ti consentono di instradare il traffico all'interno della rete VCN e l'instradamento definito dall'utente all'IP privato del firewall. L'immagine riportata di seguito mostra il flusso di traffico logico e le diverse tabelle di instradamento associate per garantire che JumpHost Windows VM possa raggiungere il server vCenter di Oracle Cloud VMware Solution:
-
È già stato eseguito il PUSH della regola di sicurezza richiesta come riportato di seguito, in modo da garantire che il traffico venga ispezionato tramite firewall.
-
È possibile accedere al server vCenter di Oracle Cloud VMware Solution (10.0.4.2) da JumpHost VM Windows (10.40.1.160).
-
L'immagine riportata di seguito mostra i log del traffico sul firewall di rete OCI in base alle regole di sicurezza applicate.
Ispezione del traffico est-ovest da DB Spoke VM e host ESXi e viceversa
-
Le funzionalità di instradamento IVR ti consentono di instradare il traffico all'interno di VCN e l'instradamento definito dall'utente all'IP privato del firewall. L'immagine seguente mostra il flusso di traffico logico e le diverse tabelle di instradamento associate per garantire che il traffico Spoke VM a un host ESXi SDDC di Oracle Cloud VMware Solution venga eliminato per motivi di sicurezza.
-
È già stato eseguito il PUSH della regola di sicurezza richiesta come riportato di seguito, in modo da garantire che il traffico venga ispezionato tramite firewall.
-
È possibile accedere all'host ESXi (10.0.0.110) di Oracle Cloud VMware Solution dalla VM DB (10.50.0.118) e il traffico deve essere rifiutato in base alla regola di sicurezza applicata.
-
L'immagine riportata di seguito mostra i log del traffico sul firewall di rete OCI in base alla regola di sicurezza applicata.
IPS/IDS, filtro URL, proxy di inoltro SSL e traffico di ispezione SSL in entrata dalle VM NSX Overlay a Internet tramite l'instradamento tra le VCN
-
Le funzioni chiave del firewall di rete forniscono funzionalità firewall di nuova generazione come la prevenzione delle intrusioni, il rilevamento delle intrusioni, il filtro degli URL, l'ispezione SSL in entrata e altro ancora, è possibile utilizzarle in tandem con l'ambiente SDDC di Oracle Cloud VMware Solution.
-
L'immagine seguente mostra il flusso di traffico logico e le diverse tabelle di instradamento associate per garantire l'uso delle funzionalità NGFW:
-
Per ulteriori informazioni su queste funzionalità, consultare la documentazione ufficiale per OCI Network Firewall.
IPS/ID
-
L'immagine seguente mostra la regola di sicurezza IPS/IDS associata al firewall. Nel nostro caso Jumpbox VM scaricherà malware EICAR tramite HTTPS.
-
Puoi accedere ai malware che si interfacciano con Internet tramite l'instradamento in entrata di Network Gateway dalla VM Jumpbox. Il traffico verrà eseguito attraverso il firewall.
-
L'immagine riportata di seguito mostra i log del traffico in OCI Network Firewall e deve essere generato un avviso in base all'azione IDS.
Filtro URL
-
L'immagine seguente mostra gli URL che filtrano la regola di sicurezza in Network Firewall. Nel nostro caso, la VM del carico di lavoro NSX di Oracle Cloud VMware Solution accede a determinati URL pubblici e deve essere rifiutata.
-
L'immagine riportata di seguito mostra i log del traffico in OCI Network Firewall e dovrebbe soddisfare la regola di sicurezza corretta.
Inoltra proxy e ispezione in entrata SSL
-
È stata creata una regola di decifrazione per supportare il traffico SSL/TLS, che garantirà il traffico HTTPS dalla VM Jumpbox a Internet mediante il profilo proxy SSL Forward.
-
Puoi accedere agli URL che si interfacciano con Internet tramite SSL/HTTPS tramite NGW dalla VM Jumpbox. Il traffico verrà eseguito attraverso il firewall.
Collegamenti correlati
- Infrastruttura Oracle Cloud
- Panoramica di Oracle Cloud VMware Solution
- Instradamento della rete cloud virtuale di Oracle Cloud
- Architettura hub e spoke di Oracle Cloud Infrastructure
- Firewall hub di transito Oracle Cloud Infrastructure con DRG
- Documentazione del gateway di instradamento dinamico Oracle
- Firewall di rete OCI
- Panoramica di OCI Network Firewall
- Workshop su firewall di rete OCI
- Difesa avanzata, creazione di livelli con OCI Network Firewall
Riconoscimenti
Autori:
- Arun Poonia (Principal Solutions Architect)
- Praveen Kumar Pedda Vakkalam (Principal Solutions Architect)
Altre risorse di apprendimento
Esplora altri laboratori su docs.oracle.com/learn o accedi a contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Explorer di Oracle Learning.
Per la documentazione sul prodotto, visitare il sito Oracle Help Center.
Secure your Oracle Cloud VMware Solution workloads with Oracle Cloud Infrastructure Network Firewall
F80966-01
April 2023
Copyright © 2023, Oracle and/or its affiliates.