Informazioni sulla protezione della rete di telecomunicazioni
5G è progettato per connettere praticamente tutti e tutto insieme, tra cui macchine, oggetti e dispositivi. La tecnologia 5G è destinata a fornire velocità di picco di dati a più Gbps, ultra bassa latenza, maggiore affidabilità, grande capacità di rete, maggiore disponibilità e un'esperienza utente più uniforme. Performance superiori e maggiore efficienza dal 5G offrono nuove User Experience per collegare nuovi settori.
Nel mondo della comunicazione in tempo reale, le organizzazioni non si affidano più alle chiamate vocali come forma primaria di comunicazione. Esistono molti componenti dell'ecosistema UCC (Unified Communications and Collaboration), tra cui videoconferenza, condivisione desktop, messaggistica istantanea, gestione della presenza e collaborazione tra team. Tutti questi elementi che funzionano insieme in modo impeccabile richiedono un protocollo di segnalazione, denominato SIP (Session Initiation Protocol). SIP avvia e termina una sessione di comunicazione, che potrebbe essere una conferenza video tra un team o una chiamata tra due persone. Per farlo, invia messaggi sotto forma di pacchetti di dati tra due o più endpoint IP o indirizzi SIP. SIP identifica la presenza delle altre parti, stabilisce la connessione e la chiude al termine della sessione, ma non ha alcun controllo su ciò che accade durante la connessione.
Sebbene si tratti di una parte efficace e integrata delle comunicazioni in tempo reale, ci sono sfide che includono l'implementazione tra vari fornitori e problemi di sicurezza coinvolti quando si spostano i dati su Internet, e questo è il punto in cui i controller dei confini di sessione entrano.
Un controller di frontiera di sessione è un dispositivo speciale (hardware o software definito) che protegge e regola i flussi di comunicazioni IP. I controller dei bordi delle sessioni vengono distribuiti ai confini di rete per controllare le sessioni di comunicazione IP, aiutando i provider di servizi a fornire comunicazioni affidabili di tipo carrier-grade e in tempo reale, quali VoLTE, VoIP, videoconferenza e chiamata, presenza, IM e IPTV, insieme alle seguenti funzionalità di base:
- Sicurezza
Proteggersi dagli attacchi Denial of Service (DoS) e Distributed DoS (DDoS), proteggersi da frodi a livello di pedaggio e furti di servizi e fornire la cifratura dei supporti e della segnalazione per garantire la riservatezza e la protezione da impersonation o masquerade.
- Interoperabilità con più fornitori
Normalizza il protocollo SIP (Session Initiation Protocol) segnalando intestazioni e messaggi dei flussi per ridurre le incompatibilità di più fornitori.
- Intermediazione protocollo
Collaborazione agevolata tra protocolli diversi o codec diversificati.
- Qualità del servizio (QoS)
Applicare criteri per il controllo dell'ammissione delle chiamate (CAC), il contrassegno del tipo di servizio (ToS) o la limitazione di frequenza per la garanzia della qualità del servizio.
- Instradamento sessione
Instrada le sessioni attraverso le interfacce di rete per garantire l'alta disponibilità o l'instradamento LCR (Min Cost Routing).
Con così tante funzioni di rete di base, gli SBC diventano una funzione di rete critica per qualsiasi provider di servizi di telecomunicazione e per i loro operatori e consumatori.
Architettura
Questa architettura mostra una coppia di istanze di Oracle Communications Session Border Controller distribuite in domini di errore diversi in un singolo dominio di disponibilità in un'area Oracle Cloud Infrastructure (OCI).
Descrizione dell'illustrazione session-front-controller-oci.png
controllore di frontiera-oci-oracle.zip
Questa architettura supporta i seguenti componenti:
- Area
Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).
- Dominio di disponibilità
I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area geografica. Le risorse fisiche presenti in ogni dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, garantendo quindi la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, o la rete interna del dominio di disponibilità. Pertanto, è improbabile che l'errore di un dominio di disponibilità influisca sugli altri domini di disponibilità nell'area.
- Dominio di errore
Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore, dotati di alimentazione e hardware indipendenti. Quando si distribuiscono le risorse su più domini di errore, le applicazioni possono tollerare l'errore fisico del server, la manutenzione del sistema e gli errori di alimentazione all'interno di un dominio di errore.
- Rete cloud virtuale (VCN) e subnet
Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi suddividere una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.
- Lista di sicurezza
Per ogni subnet, puoi creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che devono essere consentiti verso e dall'esterno.
- Tabella di instradamento
Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere attraverso i gateway.
- Gateway Internet
Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.
- Gateway NAT (Network Address Translation)
Un gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.
- Gateway del servizio
Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, ad esempio Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viaggia su fabric di rete Oracle e non passa mai su Internet.
- Gateway di instradamento dinamico (DRG)
Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra VCN nella stessa area, tra una VCN e una rete esterna all'area, ad esempio una VCN in un'altra area Oracle Cloud Infrastructure, una rete on premise o una rete in un altro provider cloud.
- VPN da sito a sito
La VPN da sito a sito fornisce la connettività IPSec VPN tra la tua rete on premise e le VCN in Oracle Cloud Infrastructure. La suite di protocolli IPSec cifra il traffico IP prima che i pacchetti vengano trasferiti dall'origine alla destinazione e decifra il traffico quando arriva.
- Controller bordo sessione
Oracle Communications Session Border Controller è il controller di confine della sessione leader di settore (SBC) per i servizi di linea fissa, mobile e over-the-top (OTT).
Le funzioni offerte da Oracle Communications Session Border Controller soddisfano i requisiti critici del provider di servizi in cinque aree principali: sicurezza, interoperabilità, affidabilità e qualità, conformità alle normative e ottimizzazione dei ricavi e dei costi.
- Sistema VM
Il sistema VM (virtual machine) di Oracle Cloud Infrastructure è un "computer composto da software" che è possibile utilizzare per eseguire qualsiasi software eseguito su un computer fisico. Come un computer fisico, una virtual machine dispone di un proprio sistema operativo, storage, networking, impostazioni di configurazione e software ed è completamente isolata da altre VM in esecuzione su tale host. Un sistema VM offre capacità di computazione sicura ed elastica nel cloud per carichi di lavoro che vanno dai progetti di sviluppo di piccole dimensioni alle applicazioni globali su larga scala, ad esempio piattaforme di comunicazione in tempo reale. Le forme flessibili ti consentono di ottimizzare le risorse VM con valori di processore e memoria personalizzati per un miglior rapporto prezzo/prestazioni.
- VM Bastion
Bastion SIPpy creato su un host Oracle VM.
- VNIC
Una scheda di interfaccia di rete virtuale (VNIC) consente a un'istanza di connettersi a una VCN e determina la modalità di connessione dell'istanza con gli endpoint all'interno e all'esterno della VCN. Ogni VNIC risiede in una subnet in una VCN e include i seguenti elementi:
- Indirizzo IPv4 privato primario dalla subnet in cui si trova la scheda VNIC, scelto da te o da Oracle.
- Indirizzi IPv4 privati secondari facoltativi della stessa subnet in cui si trova la VNIC, scelti da te o da Oracle.
- Un indirizzo IPv4 pubblico facoltativo per ciascun IP privato, scelto da Oracle ma assegnato dall'utente a sua discrezione.
- Un nome host facoltativo per il DNS per ogni indirizzo IP privato.
- Un indirizzo MAC.
- Una tag VLAN assegnata da Oracle e disponibile quando il collegamento della VNIC all'istanza è stato completato. Rilevante solo per le istanze Bare Metal.
- Flag che consente di abilitare o disabilitare il controllo di origine/destinazione nel traffico di rete della VNIC.
- Appartenenza facoltativa a uno o più gruppi di sicurezza di rete (NSG) di propria scelta. Gli NSG dispongono di regole di sicurezza che si applicano solo alle VNIC in tale gruppo NSG.
- Indirizzi IPv6 facoltativi. L'indirizzamento IPv6 è supportato per tutte le aree commerciali e governative.
- OCI DevOps
Oracle Cloud Infrastructure (OCI) DevOps è un servizio di integrazione/consegna continua (CI/CD) che automatizza la distribuzione e la distribuzione del software alle piattaforme di computazione OCI per gli sviluppatori, in modo da semplificare e automatizzare il ciclo di vita di sviluppo software.
- Storage oggetto
Lo storage degli oggetti ti consente di accedere rapidamente a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi i backup del database, i dati analitici e i contenuti avanzati quali immagini e video. Puoi archiviare e recuperare i dati in modo sicuro direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage in modo trasparente senza subire cali di prestazioni o affidabilità dei servizi. Puoi utilizzare lo storage standard per lo storage "hot" a cui hai bisogno per accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage in grassetto conservato per lunghi periodi di tempo e accesso raramente eseguito.
- Cloud Guard
È possibile utilizzare Oracle Cloud Guard per monitorare e gestire la sicurezza delle risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza le ricette del rilevatore che puoi definire per esaminare le risorse in base ai punti deboli della sicurezza, nonché per monitorare gli operatori e gli utenti per le attività a rischio. Quando viene rilevata un'attività di configurazione errata o non sicura, Cloud Guard consiglia azioni correttive e supporta l'esecuzione di tali azioni in base alle ricette del rispondente che è possibile definire.