1. Proteggere i carichi di lavoro mediante Oracle Cloud Infrastructure Network Firewall Service
  2. Proteggere i carichi di lavoro mediante Oracle Cloud Infrastructure Network Firewall Service

Proteggere i carichi di lavoro mediante Oracle Cloud Infrastructure Network Firewall Service

Oracle Cloud Infrastructure (OCI) offre la migliore tecnologia di sicurezza e processi operativi per proteggere i suoi servizi cloud aziendali. Tuttavia, la sicurezza nel cloud si basa su un modello di responsabilità condivisa. Oracle è responsabile della sicurezza dell'infrastruttura di base, ad esempio le strutture del data center, l'hardware e il software per gestire le operazioni e i servizi cloud. I clienti sono responsabili della protezione dei carichi di lavoro e della configurazione sicura dei propri servizi e applicazioni in modo da soddisfare gli obblighi di conformità.

Il servizio di networking OCI offre elenchi di sicurezza e gruppi di sicurezza di rete per le reti cloud virtuali (VCN) che i clienti possono utilizzare per proteggere i propri carichi di lavoro. Molti clienti hanno anche requisiti per i sistemi di prevenzione delle intrusioni, rilevamento delle intrusioni, ispezione SSL, filtraggio degli URL, ispezione del traffico e altro ancora.

Oracle ha stretto una partnership con Palo Alto Networks per offrire Oracle Cloud Infrastructure Network Firewall, un servizio di firewall di rete gestito di nuova generazione per la tua VCN OCI, basato su Palo Alto Networks. Il servizio Oracle Cloud Infrastructure Network Firewall offre le funzioni di sicurezza riportate di seguito.
  • Filtro di rete con conservazione dello stato: creare regole di filtro di rete con conservazione dello stato che consentono il traffico di rete allow o deny in base all'IP di origine (IPv4 e IPv6), all'IP di destinazione (IPv4 e IPv6), alla porta e al protocollo.
  • Filtro URL personalizzato e FQDN: limita il traffico in entrata e in uscita a una lista specificata di nomi di dominio completamente qualificati (FQDN), inclusi i caratteri jolly e gli URL personalizzati.
  • IDPS (Intrusion Detection and Prevention): consente di monitorare la rete per attività dannosa. Registra informazioni, segnala o blocca l'attività.
  • Ispezione SSL: decifrare e ispezionare il traffico cifrato TLS con il supporto ESNI (Encrypted Server Name Indication) per le vulnerabilità della sicurezza. ESNI è un'estensione TLSv1.3 che cifra l'indicazione SNI (Server Name Indication) nell'handshake TLS.
  • Log: Network Firewall è integrato con Oracle Cloud Infrastructure Logging. Abilitare i log in base alle regole dei criteri del firewall.
  • Metriche: Network Firewall viene integrato con Oracle Cloud Infrastructure Monitoring. Abilita gli avvisi in base a metriche quali il numero di richieste bloccate utilizzando le funzionalità del servizio di monitoraggio.
  • Ispezione del traffico della subnet VCN intra-VCN: instrada il traffico tra due subnet VCN tramite un firewall di rete.
  • Ispezione del traffico tra reti VCN: instrada il traffico tra due VCN attraverso un firewall di rete.
Questa architettura di riferimento mostra come utilizzare il servizio Network Firewall OCI per proteggere i carichi di lavoro in esecuzione su Oracle Cloud Infrastructure e fornire un modello basato su Terraform per distribuire l'architettura.

Architettura

Questa architettura di riferimento illustra in che modo le organizzazioni possono proteggere i carichi di lavoro distribuiti in OCI mediante un firewall di rete e semplificare la progettazione mediante le funzionalità di instradamento della rete VCN (Intra Virtual Cloud Network). Per proteggere questi carichi di lavoro, Oracle consiglia di segmentare la rete utilizzando la distribuzione distribuita, dove il traffico viene instradato tramite un firewall di rete ed è connesso a più subnet distinte in una VCN.

È necessario definire un criterio firewall per poter distribuire un firewall di rete OCI. OCI Network Firewall è un servizio ad alta disponibilità nativo all'interno di un dominio di disponibilità di una determinata subnet di firewall dedicata della VCN. Una volta eseguita la distribuzione, puoi utilizzare l'indirizzo IP del firewall per instradare il traffico utilizzando le tabelle di instradamento VCN. È necessario instradare in modo simmetrico all'indirizzo IP del firewall di rete OCI e applicare il criterio firewall richiesto per supportare il caso d'uso.

Tutto il traffico tra VCN, che si tratti di e da Internet, da e verso on premise o da Oracle Services Network può essere instradato e ispezionato con Network Firewall che offre funzionalità firewall di nuova generazione per organizzazioni di tutte le dimensioni. Utilizzare Network Firewall e le relative funzioni avanzate insieme ad altri servizi di sicurezza OCI per creare una soluzione di sicurezza di rete a più livelli. Un firewall di rete è un servizio scalabile in modo nativo una volta creato nella subnet di tua scelta. Il firewall applica la business logic al traffico specificato in un criterio firewall collegato. L'instradamento nella VCN viene utilizzato per indirizzare il traffico di rete verso e dal firewall.

È possibile distribuire Network Firewall come:

  • Modello firewall di rete distribuito: OCI Network Firewall viene distribuito nella propria VCN dedicata, consigliata.
  • Modello firewall di rete di transito: il firewall di rete OCI viene distribuito in una VCN hub e connesso a VCN spoke tramite il gateway di instradamento dinamico.

In questa architettura viene descritto come distribuire Network Firewall in modelli diversi, flussi di traffico diversi e componenti associati.

Il diagramma riportato di seguito mostra questa architettura di riferimento.


Segue la descrizione di oci-network-firewall-arch.png
Descrizione dell'immagine oci-network-firewall-arch.png

oci-network-firewall-arch-oracle.zip

Nota:

Ogni flusso di traffico garantisce che il criterio di firewall di rete richiesto venga inviato al firewall di rete e che venga utilizzata la simmetria di instradamento per indirizzare il traffico verso e dal firewall di rete.

Flusso di traffico Internet in entrata Nord-Sud tramite gateway Internet attraverso il firewall di rete OCI in una VCN protetta


Segue la descrizione di oci-network-firewall-inbound.png
Descrizione dell'illustrazione oci-network-firewall-inbound.png

oci-network-firewall-inbound-oracle.zip

Flusso di traffico Internet in uscita Nord-Sud tramite gateway Internet attraverso il firewall di rete OCI in una VCN protetta


Segue la descrizione di oci-network-firewall-outbound.png
Descrizione dell'illustrazione oci-network-firewall-outbound.png

oci-network-firewall-outbound-oracle.zip

Flusso di traffico Internet in uscita Nord-Sud tramite il gateway NAT e attraverso il firewall di rete OCI in una VCN protetta


Segue la descrizione di oci-network-firewall-outbound-nat.png
Descrizione dell'illustrazione oci-network-firewall-outbound-nat.png

oci-network-firewall-outbound-nat-oracle.zip

Flusso di traffico in entrata Nord-Sud tramite firewall di rete OCI in una VCN protetta


Segue la descrizione di oci-network-firewall-inbound-prem.png
Descrizione dell'illustrazione oci-network-firewall-inbound-prem.png

oci-network-firewall-inbound-prem-oracle.zip

Flusso di traffico on-premise in uscita del Nord-Sud attraverso il firewall di rete OCI in una VCN protetta


Segue la descrizione di oci-network-firewall-outbound-prem.png
Descrizione dell'illustrazione oci-network-firewall-outbound-prem.png

oci-network-firewall-outbound-prem-oracle.zip

Dalla subnet orientale-A alla subnet-B il flusso di traffico attraverso il firewall di rete OCI in una VCN protetta


Segue la descrizione di oci-network-firewall-subnet1.png
Descrizione dell'illustrazione oci-network-firewall-subnet1.png

oci-network-firewall-subnet-oracle1.zip

Subnet-B Est-Ovest verso la subnet-A - Flusso di traffico attraverso il firewall di rete OCI in una VCN protetta


Segue la descrizione di oci-network-firewall-subnet-b.png
Descrizione dell'illustrazione oci-network-firewall-subnet-b.png

oci-network-firewall-subnet-b-oracle.zip

Flusso di traffico tra la subnet-A-Ovest e i servizi OCI attraverso il firewall di rete OCI in una VCN protetta


Segue la descrizione di oci-network-firewall-subnet.png
Descrizione dell'illustrazione oci-network-firewall-subnet.png

oci-network-firewall-subnet-oracle.zip

Architettura di distribuzione del firewall di rete OCI di transito


Segue la descrizione di oci-network-firewall-transit-arch.png
Descrizione dell'illustrazione oci-network-firewall-transit-arch.png

oci-network-firewall-transit-arch-oracle.zip

Flusso di traffico della VCN Secured-B orientale-ovest per spoke protetto-C tramite firewall di rete OCI nella VCN protetta da hub-A


Segue la descrizione di oci-network-firewall-spoke.png
Descrizione dell'illustrazione oci-network-firewall-spoke.png

oci-network-firewall-spoke-oracle.zip

L'architettura dispone dei seguenti componenti:

  • Area

    Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).

  • Compartimento

    I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy di Oracle Cloud Infrastructure. Utilizzare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote d'uso. Per controllare l'accesso alle risorse in un determinato compartimento, puoi definire i criteri che specificano chi può accedere alle risorse e quali azioni possono eseguire.

  • domini di disponibilità

    I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area geografica. Le risorse fisiche presenti in ogni dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, garantendo quindi la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, o la rete interna del dominio di disponibilità. Pertanto, è improbabile che l'errore di un dominio di disponibilità influisca sugli altri domini di disponibilità nell'area.

  • domini di errore

    Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore, dotati di alimentazione e hardware indipendenti. Quando si distribuiscono le risorse su più domini di errore, le applicazioni possono tollerare l'errore fisico del server, la manutenzione del sistema e gli errori di alimentazione all'interno di un dominio di errore.

  • Rete cloud virtuale (VCN) e subnet

    Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi suddividere una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • Lista di sicurezza

    Per ogni subnet, puoi creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che devono essere consentiti verso e dall'esterno.

  • Firewall di rete

    Risorsa di sicurezza esistente in una subnet di tua scelta e controlla il traffico di rete in entrata e in uscita in base a un set di regole di sicurezza. Ogni firewall è associato a un criterio. Il traffico viene instradato verso e dal firewall da risorse quali gateway Internet, gateway NAT, gateway di servizio e gateway di instradamento dinamico (DRG, Dynamic Routing Gateway).

  • Criterio firewall di rete

    Un criterio firewall contiene tutte le regole di configurazione che controllano come il firewall ispeziona, consente o nega il traffico di rete. Ogni firewall è associato a un singolo criterio, ma è possibile associare un criterio a più firewall. All'interno di un criterio, gli elenchi e le mappe sono gli oggetti che consentono di esprimere regole in modo chiaro e conciso.

  • Tabella di instradamento
    Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere attraverso i gateway. Nella VCN protetta è possibile avere le seguenti tabelle di instradamento:
    • La tabella di instradamento della subnet firewall in una VCN protetta garantisce che il traffico verso Internet, on premise, subnet o VCN raggiunga la destinazione, questa tabella di instradamento viene associata alla subnet di Network Firewall.
    • La tabella di instradamento di Internet Gateway garantisce che qualsiasi traffico in entrata da Internet passi attraverso il firewall di rete, questa tabella di instradamento viene associata al gateway Internet.
    • La tabella di instradamento del gateway NAT garantisce che qualsiasi risposta di restituzione da Internet venga trasferita tramite firewall di rete, questa tabella di instradamento viene associata al gateway NAT.
    • La tabella di instradamento del gateway di servizi garantisce che qualsiasi risposta di restituzione dalla comunicazione di Oracle Services Network venga trasmessa tramite firewall di rete, questa tabella di instradamento viene collegata al gateway di servizi.
    • Ogni tabella di instradamento garantisce che è possibile comunicare all'interno di una VCN, ma se si desidera utilizzare il firewall di rete nelle subnet di una VCN, assicurarsi che gli instradamenti corretti puntino all'indirizzo IP del firewall di rete.
    • La tabella di instradamento entrata VCN DRG Firewall è collegata al collegamento VCN protetto per inviare qualsiasi traffico in entrata dalle VCN spoke/on premise tramite il gateway di instradamento dinamico all'indirizzo IP privato del firewall di rete.

    • Per ogni spoke collegato alla VCN del firewall tramite gateway di instradamento dinamico, viene definita una tabella di instradamento distinta e collegata a una subnet associata. Questa tabella di instradamento inoltra tutto il traffico (0.0.0.0/0) dalla VCN spoke associata ai gateway di instradamento dinamico attraverso l'indirizzo IP privato del firewall di rete.

    Per mantenere la simmetria del traffico, assicurarsi di disporre delle voci corrette della tabella di instradamento che puntano al firewall di rete.
  • IP privati

    Indirizzo IPv4 privato e informazioni correlate per l'indirizzamento di un'istanza. Ogni VNIC dispone di un IP privato primario e puoi aggiungere e rimuovere gli IP privati secondari. L'indirizzo IP privato primario su un'istanza viene collegato durante l'avvio dell'istanza e non viene modificato durante il ciclo di vita dell'istanza. Gli IP secondari devono appartenere anche allo stesso CIDR della subnet della VNIC. L'IP secondario viene utilizzato come IP mobile perché può passare da una VNIC all'altra in istanze diverse all'interno della stessa subnet. È anche possibile utilizzarlo come endpoint diverso per ospitare servizi diversi.

    Il firewall di rete OCI non supporta e richiede IP secondari. Utilizzare l'indirizzo IP del firewall primario per instradare il traffico al firewall per l'ispezione del traffico.

  • IP pubblici
    I servizi di rete definiscono un indirizzo IPv4 pubblico scelto da Oracle mappato a un IP privato.
    • effimero: questo indirizzo è temporaneo ed esiste per tutta la durata dell'istanza.
    • Riservato: questo indirizzo rimane oltre la durata dell'istanza. Possono essere annullate e riassegnate a un'altra istanza.
  • Forma di computazione

    La forma di un'istanza di computazione specifica il numero di CPU e la quantità di memoria allocata all'istanza. La forma di computazione determina anche il numero di VNIC e la larghezza di banda massima disponibile per l'istanza di computazione.

  • Scheda di interfaccia di rete virtuale (VNIC)

    I servizi nei data center di Oracle Cloud Infrastructure dispongono di schede di interfaccia di rete fisiche (NIC, Physical Network Interface Card). Le istanze di Virtual Machine comunicano utilizzando le VNIC (Virtual NIC) associate alle schede NIC fisiche. Ogni istanza dispone di una VNIC primaria che viene creata e collegata automaticamente durante l'avvio e che è disponibile durante il ciclo di vita dell'istanza. DHCP viene offerto solo alla VNIC primaria. Puoi aggiungere VNIC secondarie dopo l'avvio dell'istanza. È necessario impostare IP statici per ciascuna interfaccia.

  • Gateway Internet

    Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

  • Gateway NAT

    Il gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

  • Gateway del servizio

    Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, ad esempio Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viaggia su fabric di rete Oracle e non passa mai su Internet.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect consente di creare facilmente una connessione dedicata e privata tra il data center e Oracle Cloud Infrastructure. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza. I requisiti potrebbero essere diversi dall'architettura descritta in questa sezione.
  • VCN

    Quando crei una rete VCN, determina il numero di blocchi CIDR necessari e la dimensione di ciascun blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Usare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.

    Selezionare i blocchi CIDR che non si sovrappongono ad altre reti (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) in cui si desidera impostare connessioni private.

    Dopo aver creato una VCN, puoi modificare, aggiungere e rimuovere i relativi blocchi CIDR.

    Quando si progettano le subnet, considerare i requisiti di flusso di traffico e sicurezza. Collegare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

  • Criteri firewall di rete

    Per informazioni più aggiornate sui criteri, le porte e i protocolli di sicurezza necessari, consultare la documentazione relativa ai criteri di firewall di rete nella sezione Esplora altre sezioni. Assicurarsi di aver inviato il criterio necessario a Network Firewall.

  • Firewall di rete
    Per ulteriori informazioni sulle informazioni aggiornate, consultare la documentazione di Network Firewall nella sezione Esplora altri argomenti. Di seguito sono riportate alcune raccomandazioni.
    • Come procedura consigliata, non utilizzare la subnet del firewall di rete OCI per distribuire altre risorse poiché il firewall di rete non è in grado di ispezionare il traffico da origini e destinazioni all'interno della subnet del firewall.
    • Distribuisci l'architettura di distribuzione distribuita e utilizza subnet di firewall regionali.
    • Utilizza i log per migliorare la sicurezza e visualizzare il flusso di traffico.
    • È possibile monitorare lo stato, la capacità e le prestazioni dei firewall di rete utilizzando metriche, allarmi e notifiche.
    • Per un migliore utilizzo del firewall per garantire la protezione di tutto il traffico, accertarsi di non aggiungere regole con conservazione dello stato alla lista di sicurezza collegata alla subnet del firewall o di includere il firewall in un gruppo di sicurezza di rete (NSG) contenente regole con conservazione dello stato.
    • Le regole della lista di sicurezza o del gruppo di sicurezza di rete (NSG) associate alla subnet e alle VNIC del firewall vengono valutate prima del firewall. Assicurarsi che qualsiasi elenco di sicurezza o regola NSG consenta al traffico di accedere al firewall in modo che possa essere valutato correttamente.

Considerazioni

Quando si proteggono i carichi di lavoro su OCI utilizzando Network Firewall, tenere in considerazione i fattori riportati di seguito.

  • Prestazioni
    • La selezione della dimensione di istanza appropriata, determinata dalla forma di computazione, determina il massimo throughput disponibile, CPU, RAM e numero di interfacce.
    • Le organizzazioni devono conoscere i tipi di traffico che attraversano l'ambiente, determinare i livelli di rischio appropriati e applicare i controlli di sicurezza appropriati in base alle esigenze. Le diverse combinazioni di controlli di sicurezza abilitati influiscono sulle prestazioni.
    • Considera l'aggiunta di interfacce dedicate per i servizi FastConnect o VPN. Considera l'utilizzo di forme di computazione di grandi dimensioni per ottenere throughput più elevato e l'accesso a più interfacce di rete.
    • L'esecuzione dei test delle prestazioni per convalidare la progettazione può sostenere le prestazioni e il throughput richiesti.
  • Sicurezza
    • Per garantire che il traffico possa raggiungere dall'origine alla destinazione attraverso Network Firewall, è necessario instradarlo simmetricamente a OCI Network Firewall.
    • Le regole della lista di sicurezza o del gruppo di sicurezza di rete (NSG) associate alla subnet e alle VNIC del firewall vengono valutate prima del firewall. Assicurarsi che qualsiasi elenco di sicurezza o regola NSG consenta al traffico di accedere al firewall in modo che possa essere valutato correttamente.
  • Log

    È possibile abilitare il log per i firewall se le regole del criterio associato lo supportano e si è sottoscritti a Oracle Cloud Infrastructure Logging. I log visualizzano l'attività di log e i dettagli di ogni evento registrato in un intervallo di tempo specificato. I log mostrano quando il traffico attiva le regole e aiutano a migliorare la sicurezza.

  • Disponibilità
    • Distribuisci la tua architettura in aree geografiche distinte per garantire la massima ridondanza.
    • Configura VPN site-to-site con reti organizzative pertinenti per la connettività ridondante con reti on premise.
  • Costo

    È previsto un costo per ogni firewall di rete OCI, considerare la possibilità di utilizzare un modello di firewall Distributed e Transit combinato se si dispone di un numero elevato di VCN OCI. Distribuire i firewall di rete solo dove necessario.

Distribuzione

È possibile distribuire Network Firewall in OCI utilizzando la console. Puoi anche scaricare il codice da GitHub e personalizzarlo in base ai tuoi requisiti aziendali specifici per la distribuzione di questa architettura.

Distribuiscilo utilizzando il codice Terraform in GitHub:
  1. Visita GitHub.
  2. Copiare o scaricare il repository sul computer locale.
  3. Seguire le istruzioni riportate nel documento README.

Visualizza altro

Per ulteriori informazioni sul servizio Network Firewall OCI, vedere le risorse riportate di seguito.

Conferme

  • Authors: Arun Poonia, Troy Levin
  • Contributors: Vinay Rao