Proteggi le risorse cloud utilizzando un firewall virtuale

Sebbene Oracle Cloud Infrastructure offra controlli di sicurezza della rete tramite elenchi di sicurezza e gruppi di sicurezza della rete, in alcuni scenari sono necessari diversi tipi di sicurezza della rete. Per tali scenari, Oracle Cloud Infrastructure utilizza reti cloud virtuali (VCN) e subnet per posizionare i diversi segmenti della rete e il firewall per gestire i controlli di sicurezza.

La distribuzione di un firewall per controllare il flusso di rete offre i seguenti vantaggi:

• Controlli di accesso centralizzati
• Filtro contenuto
• Traduzione indirizzo di rete in entrata e in uscita (NAT) e traduzione indirizzo porta (PAT)
• Politiche avanzate del traffico
• Coerenza delle procedure attraverso diversi ambienti (on-premise e altri provider cloud), che semplifica anche la migrazione e l'espansione verso il cloud perché vengono utilizzati gli stessi strumenti
• Capacità di progettazione estese per scenari complessi

Architettura

In questa architettura, un firewall virtuale controlla il traffico nord-sud e il traffico est-ovest. L'architettura mostra come progettare la rete e dove posizionare il firewall.

Il traffico nord-sud è il traffico che viene da Internet (tramite il gateway Internet) o l'ambiente on-premise (tramite il gateway di instradamento dinamico) alle VCN. Il traffico ovest è il traffico tra VCN nella tua tenancy.

Il seguente diagramma illustra questa architettura di riferimento.

Descrizione dell'immagine firewall-oci.png

firewall-oci-oracle.zip

Nel diagramma le VNIC collegano le subnet a un firewall virtuale (ad esempio un firewall della serie VM di Palo Alto Networks). Le sottoreti assumono i seguenti ruoli nell'architettura:

1. La subnet pubblica di gestione in VCN1 (CIDR 10.0.1.0/24) fornisce all'amministratore di rete l'accesso alla console del firewall virtuale tramite SSH e HTTPS.
2. La subnet pubblica di tipo Non attendibile in VCN1 (CIDR 10.0.2.0/24) consente ai clienti di accedere a subnet private da Internet con il controllo di Palo Alto Firewall.
3. La subnet privata sicura in VCN1 (CIDR 10.0.3.0/24) funge da DMZ.
4. La subnet privata sicura in VCN2 (CDIR 10.1.1.0/24) consente risorse private nascoste.

L'architettura ha i seguenti componenti:

• Area

  Un'area Oracle Cloud Infrastructure è un'area geografica localizzata contenente uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).

• Domini di disponibilità

  I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area. Le risorse fisiche in ogni dominio di disponibilità vengono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza agli errori. I domini di disponibilità non condividono infrastrutture quali l'alimentazione o il raffreddamento o la rete di dominio di disponibilità interna. È quindi improbabile che un errore a un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.

• Domini di errore

  Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando distribuisci le risorse su più domini di errore, le applicazioni possono tollerare errori del server fisico, manutenzione del sistema e errori di alimentazione all'interno di un dominio di errore.

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile e definita dal software impostata dall'utente in un'area Oracle Cloud Infrastructure. Come le reti di data center tradizionali, le VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. È possibile segmentare una VCN in subnet, che può essere definita in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono con le altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

• Gateway di instradamento dinamico (DRG)

  Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra una VCN e una rete esterna all'area geografica, ad esempio una VCN in un'altra area Oracle Cloud Infrastructure, una rete on premise o una rete in un altro provider cloud.

• Tabella di instradamento

  Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite i gateway.

• Liste di sicurezza

  Per ogni subnet è possibile creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

• Scheda di interfaccia di rete virtuale (VNIC)

  Una VNIC consente a un'istanza di connettersi a un VCN e determina il modo in cui l'istanza si connette agli endpoint all'interno e all'esterno di VCN. Ogni istanza viene fornita automaticamente con una VNIC primaria ed è possibile aggiungerne una secondaria.

• Firewall

  Il firewall controlla il flusso tra i segmenti dell'ambiente. Le funzioni avanzate variano da provider a provider.

Suggerimenti

Le vostre esigenze potrebbero differire dall'architettura descritta qui. Utilizzare i suggerimenti riportati di seguito come punto di partenza.

• VCN

  Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ogni blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.

  Selezionare un intervallo di indirizzi che non si sovrapponga alla rete in locale, in modo da poter impostare una connessione tra la VCN e la rete in locale, se necessario.

  Dopo aver creato una VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.

  Durante la progettazione delle subnet, tenere in considerazione i requisiti di funzionalità e sicurezza. Associare tutte le istanze di computazione all'interno dello stesso livello o ruolo alla stessa subnet.

  Utilizza subnet regionali.

• Liste di sicurezza

  Anche se tutto il traffico scorre attraverso il firewall, le liste di sicurezza sono ancora richieste per il traffico all'interno e tra le subnet.

• Firewall

  Se l'ambiente è mission-critical, assicurarsi che il firewall implementato supporti una distribuzione altamente disponibile per evitare interruzioni impreviste.

  Quando si utilizza un firewall in standby, distribuirlo su un dominio di errore diverso.

  Poiché il firewall non è gestito nell'ambito di Oracle Cloud Infrastructure, assicurarsi che le relative patch siano sempre applicate.

  Il firewall richiede più VNIC per connettere i diversi segmenti nell'ambiente. Scegliere una forma di istanza che fornisca un numero sufficiente di VNIC.

Considerazioni

• Prestazioni

  Come punto centrale della comunicazione, l'istanza firewall dovrebbe avere un numero sufficiente di VNIC per collegare i segmenti esistenti. Nella maggior parte dei casi, la CPU non è un fattore limitante. In Oracle Cloud Infrastructure, il numero di VNIC e la larghezza di banda associata vengono scalati in base al numero di OCPU della forma dell'istanza.

• Sicurezza

  Il firewall non è gestito nell'ambito di Oracle Cloud Infrastructure. Implementare procedure sicure per garantire un accesso sicuro alla gestione e una buona politica di applicazione delle patch.

• Disponibilità

  Il firewall è il punto centrale in cui tutte le comunicazioni fluiscono. Il firewall scelto deve essere in grado di funzionare in modalità ad alta disponibilità per evitare impatti in caso di indisponibilità non pianificata.

• Costo

  Il costo dell'utilizzo di questa architettura si basa sulle dimensioni della forma dell'istanza utilizzata per il firewall. Se si sceglie una soluzione firewall a pagamento, i costi di licenza dovrebbero anche essere presi in considerazione.

Distribuzione

Il codice Terraform per questa architettura di riferimento è disponibile come stack di esempio in Oracle Cloud Infrastructure Resource Manager. Puoi anche scaricare il codice da GitHub e personalizzarlo in base ai tuoi requisiti specifici.

• Distribuisci con Oracle Cloud Infrastructure Resource Manager:
  1. Fare clic su

     Se non si è già connessi, immettere le credenziali della tenancy e dell'utente.

  2. Rivedere e accettare i termini e le condizioni.
  3. Selezionare l'area in cui distribuire lo stack.
  4. Seguire i prompt visualizzati e le istruzioni per creare lo stack.
  5. Dopo aver creato lo stack, fare clic su Azioni Terraform e selezionare Plan.
  6. Attendere il completamento del job e rivedere il piano.

     Per apportare eventuali modifiche, tornare alla pagina Dettagli stack, fare clic su Modifica stack e apportare le modifiche necessarie. Eseguire quindi di nuovo l'azione Piano.

  7. Se non sono necessarie ulteriori modifiche, tornare alla pagina Dettagli stack, fare clic su Azioni Terraform e selezionare Applica.
• Distribuiscilo utilizzando il codice Terraform in GitHub:
  1. Visita GitHub.
  2. Copiare o scaricare il repository sul computer locale.
  3. Seguire le istruzioni riportate nel documento README.

Visualizza altro

• Carichi di lavoro delle applicazioni sicuri con il firewall Palo Alto Networks serie VM
• Distribuzioni di rete Palo Alto supportate in OCI
• Fortinet FortiGate in OCI - Alta disponibilità (HA)

Log delle modifiche

Questo log elenca le modifiche significative:

28 marzo 2022

Aggiunta della sezione Distribuisci e aggiunta di istruzioni per distribuire l'architettura mediante Oracle Cloud Infrastructure Resource Manager. Ha aggiornato il diagramma e aggiunto una versione scaricabile e modificabile in Architecture.