Proteggi i tuoi carichi di lavoro in esecuzione su Oracle Cloud Infrastructure con FortiGate

Oracle Cloud Infrastructure (OCI) offre la migliore tecnologia di sicurezza e processi operativi per proteggere i propri servizi cloud aziendali. Tuttavia, la sicurezza nel cloud si basa su un modello di responsabilità condivisa. Oracle è responsabile della sicurezza dell'infrastruttura di base, ad esempio strutture del data center, hardware e software, per gestire le operazioni e i servizi cloud. I clienti sono responsabili della protezione dei carichi di lavoro e della configurazione sicura dei servizi e delle applicazioni per soddisfare i propri obblighi di conformità.

Le aziende si stanno rivolgendo all'infrastruttura cloud di seconda generazione di Oracle per creare nuove applicazioni, estendere i data center interni e, infine, sfruttare l'elasticità del cloud pubblico. Le stesse aziende si rivolgono a Fortinet per contribuire a proteggere le proprie applicazioni e i propri dati in OCI.

Le soluzioni Adaptive Cloud Security Fortinet proteggono carichi di lavoro e applicazioni in data center on premise e in ambienti cloud con sicurezza su più livelli per le applicazioni basate su cloud. Fortinet Security Fabric si estende su data center e cloud per offrire una visione consolidata delle impostazioni di sicurezza, una singola console per la gestione dei criteri e il reporting del controllo e il monitoraggio degli eventi indipendentemente dall'infrastruttura fisica, virtuale o cloud tra cloud privati, pubblici e ibridi.

Le soluzioni Fortinet sono disponibili in Oracle Cloud Marketplace sia su richiesta che tramite gli elenchi di licenze BYOL (Bring Your Own License).

Architettura

Questa architettura di riferimento illustra in che modo le organizzazioni possono proteggere le applicazioni Oracle, ad esempio Oracle E-Business Suite e PeopleSoft, distribuite in OCI utilizzando un firewall FortiGate e una progettazione semplificata con un gateway di instradamento dinamico (DRG).

Per proteggere questi flussi di traffico, Fortinet consiglia di segmentare la rete mediante una topologia hub e spoke, in cui il traffico viene instradato attraverso un hub di transito e collegato a più reti (spokes). Assicurarsi di aver distribuito un cluster FortiGate ad alta disponibilità. Tutto il traffico tra razze, da e verso Internet, da e verso on premise o verso Oracle Services Network, viene instradato attraverso l'hub e ispezionato con il firewall FortiGate di Fortinet che offre funzionalità di firewall di nuova generazione per organizzazioni di tutte le dimensioni, con la flessibilità da distribuire come firewall di nuova generazione, firewall di segmentazione interno o gateway di rete privata virtuale (VPN). Protegge dalle minacce informatiche con performance elevate, efficacia della sicurezza e visibilità completa.

Distribuisci ogni livello della tua applicazione nella propria rete cloud virtuale (VCN), che funge da parlante. La VCN hub contiene un cluster FortiGate attivo-passivo ad alta disponibilità, un gateway Internet Oracle, un DRG e Oracle Service Gateway.

Questa architettura è in grado di offrire un design altamente scalabile e modulare per la connessione di più raggi, in cui ogni rete spoke rappresenta il livello di un'applicazione, ad esempio Web, applicazione e database. Funziona in un ambiente, come produzione, test e sviluppo, e in infrastrutture differenti, come aree, data center on premise e multicloud.

La VCN hub si connette ai VCN spoke tramite i gateway DRG. Tutto il traffico spoke utilizza le regole della tabella di instradamento per instradare il traffico attraverso il gateway DRG all'hub utilizzando la tabella di instradamento dell'entrata della VCN al firewall FortiGate per l'ispezione.

È anche possibile gestire il firewall FortiGate utilizzando FortiManager. La soluzione Single Pane Management di FortiManager offre una strategia di gestione e provisioning centralizzata integrata nell'infrastruttura di sicurezza di Fortinet che integra perfettamente l'infrastruttura di rete e l'architettura di sicurezza di un'organizzazione per applicare il controllo dell'accesso, la segmentazione e la protezione coerente di dispositivi, applicazioni e utenti.

Il diagramma riportato di seguito illustra questa architettura di riferimento.

Descrizione dell'illustrazione fortificgate-oci-arch.png

Per ogni flusso di traffico, assicurarsi che i criteri di sicurezza, le traduzioni degli indirizzi di rete (NAT) e i percorsi siano presenti nei firewall FortiGate.

• Traffico in entrata nord-sud

  Il diagramma riportato di seguito mostra in che modo il traffico in entrata nord-sud accede al livello di applicazione Web da Internet e dai data center remoti.

  
  Descrizione dell'illustrazione fort-oci-ns-inbound.png

• Traffico in uscita Nord-Sud

  Il diagramma riportato di seguito illustra come le connessioni in uscita dai livelli di applicazione Web e database a Internet forniscono aggiornamenti software e l'accesso ai servizi Web esterni.

  
  Descrizione dell'illustrazione fort-oci-ns-outbound.png

• Traffico est-ovest (web to database)

  Il diagramma riportato di seguito illustra lo spostamento del traffico dall'applicazione Web al livello di database.

  
  Descrizione dell'illustrazione fort-oci-ew-w2db.png

• Traffico est-ovest (da database a Web)

  Il diagramma riportato di seguito illustra lo spostamento del traffico dal livello di database all'applicazione Web.

  
  Descrizione dell'illustrazione fort-oci-ew-db2w.png

• Traffico est-ovest (applicazione Web a Oracle Services Network)

  Il diagramma riportato di seguito illustra lo spostamento del traffico dall'applicazione Web a Oracle Services Network.

  
  Descrizione dell'illustrazione fort-oci-ew-w2osn.png

• Traffico est-ovest (Oracle Services Network to Web Application)

  Il diagramma riportato di seguito illustra lo spostamento del traffico da Oracle Services Network all'applicazione Web.

  
  Descrizione dell'illustrazione fort-oci-ew-osn2w.png

L'architettura prevede i componenti elencati di seguito.

• firewall di nuova generazione Fortinet FortiGate

  Offre servizi di rete e sicurezza, come la protezione dalle minacce, l'ispezione SSL e una latenza ultrabassa, per la protezione di segmenti interni e ambienti strategici. Supporta la virtualizzazione SR-IOV (Single Root I/O Virtualization) diretta per prestazioni migliori. FortiGate può essere distribuito direttamente da Oracle Cloud Marketplace.

• Fortinet FortiManager

  Offre la gestione di un unico pannello di controllo nella rete e offre viste cronologiche e in tempo reale all'attività di rete.

• Livello applicazione Oracle E-Business Suite o PeopleSoft

  Composto dai server applicazioni Oracle E-Business Suite o PeopleSoft e dal file system.

• Livello di database Oracle E-Business Suite o PeopleSoft

  Composto da Oracle Database Service, ma non limitato a Oracle Exadata Database Cloud o Oracle Database.

• Area

  Un'area OCI è un'area geografica localizzata contenente uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).

• Dominio di disponibilità

  I domini di disponibilità sono data center indipendenti e standalone all'interno di un'area geografica. Le risorse fisiche presenti in ciascun dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, il che garantisce la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, né la rete interna del dominio di disponibilità. Pertanto, è improbabile che un errore di un dominio di disponibilità influisca sugli altri domini di disponibilità nell'area.

• Dominio di errore

  Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando distribuisci le risorse su più domini di errore, le applicazioni possono tollerare errori del server fisico, manutenzione del sistema e errori di alimentazione all'interno di un dominio di errore.

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile e definita dal software impostata dall'utente in un'area OCI. Come le reti di data center tradizionali, le VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. È possibile segmentare una VCN in subnet, che può essere definita in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono con le altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Hub VCN

  La VCN hub è una rete centralizzata in cui vengono distribuite le istanze Fortinet FortiGate Firewall. Offre una connettività sicura a tutti i VCN condivisi, servizi OCI, endpoint pubblici e client, nonché reti di data center on premise.

• VCN spoke dei livelli applicazione

  La VCN a livello di applicazione contiene una subnet privata per ospitare i componenti di Oracle E-Business Suite o PeopleSoft.

• VCN partecipata a livello di database

  La VCN intervenuta a livello di database contiene una subnet privata per l'hosting dei database Oracle.

• Load balancer

  Il servizio di bilanciamento del carico OCI fornisce la distribuzione automatica del traffico da un singolo punto di accesso a più server nell'endpoint backend.

• Lista di sicurezza

  Per ogni subnet, puoi creare regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

• Tabella di instradamento
  Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite i gateway. Nella VCN hub sono disponibili le seguenti tabelle di instradamento:

  • Tabella di instradamento gestione collegata alla subnet di gestione, che dispone di un instradamento predefinito connesso al gateway Internet
  • Tabella di instradamento non attendibile collegata alla subnet non attendibile o alla VCN predefinita per l'instradamento del traffico dalla VCN dell'hub a destinazioni Internet o on premise. Questa tabella di instradamento contiene anche voci per ogni instradamento blocco CIDR VCNs parlato tramite gateway di instradamento dinamico.
  • Tabella di instradamento attendibile associata alla subnet trust che punta al blocco CIDR dei VCN parlanti tramite i gateway di instradamento dinamico
  • Tabella di instradamento ad alta disponibilità collegata alla subnet ad alta disponibilità al blocco CIDR in cui si desidera inviare il traffico
  • La tabella di instradamento ingresso VCN hub è collegata al collegamento VCN hub per inviare qualsiasi traffico in entrata dagli VCN condivisi tramite il gateway di instradamento dinamico agli indirizzi IP sicuri del firewall FortiGate
  • Per ogni riferimento collegato all'hub tramite gateway di instradamento dinamico, viene definita una tabella di instradamento distinta associata a una subnet associata. La tabella di instradamento inoltra tutto il traffico (0.0.0.0/0) dalla VCN spoke associata ai gateway di instradamento dinamico tramite l'IP a virgola mobile dell'interfaccia fiduciaria del firewall FortiGate.
  • Tabella di instradamento del gateway del servizio Oracle collegata al gateway del servizio Oracle per la comunicazione di Oracle Service Network. Questo instradamento inoltra tutto il traffico (0.0.0.0/0) all'IP in virgola mobile dell'interfaccia firewall FortiGate.

  Per mantenere la simmetria del traffico, gli instradamenti vengono aggiunti a ogni firewall FortiGate in modo che punti il blocco CIDR del traffico della VCN spoke rispetto all'IP del gateway predefinito della subnet sicura (primo IP di subnet attendibile sulla VCN hub) e al blocco CIDR predefinito (0.0.0.0/0) in modo da puntare all'IP del gateway predefinito della subnet non attendibile (primo IP di subnet non attendibile sulla VCN hub).
• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

• Gateway NAT

  Il gateway NAT consente alle risorse private di una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

• Gateway di instradamento dinamico (DRG)

  DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra una VCN e una rete esterna all'area geografica, ad esempio una VCN in un'altra area OCI, una rete in locale o una rete in un altro provider cloud.

• Gateway del servizio

  Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, ad esempio lo storage degli oggetti OCI. Il traffico dalla rete VCN al servizio Oracle si sposta attraverso il fabric di rete Oracle e non pubblica mai Internet.

• FastConnect

  OCI FastConnect offre un modo semplice per creare una connessione dedicata e privata tra il tuo data center e OCI. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

• Scheda interfaccia di rete virtuale (VNIC)

  I servizi nei centri dati OCI sono dotati di schede di interfaccia di rete fisica (NIC, Physical Network Interface Card). Le istanze di Virtual Machine (VM) comunicano utilizzando NIC virtuali (VNIC) associati ai NIC fisici. Ogni istanza dispone di una VNIC primaria creata e collegata automaticamente durante l'avvio ed è disponibile durante la durata dell'istanza. DHCP viene offerto solo alla VNIC primaria. Puoi aggiungere le VNIC secondarie dopo l'avvio dell'istanza. Impostare IP statici per ciascuna interfaccia.

• IP privati

  Indirizzo IPv4 privato e informazioni correlate per l'indirizzamento di un'istanza. Ogni VNIC dispone di un IP privato primario ed è possibile aggiungere e rimuovere gli IP privati secondari. L'indirizzo IP privato primario di un'istanza viene collegato durante l'avvio dell'istanza e non cambia durante la durata dell'istanza. Gli IP secondari appartengono inoltre allo stesso CIDR della subnet della VNIC. L'IP secondario viene usato come IP galleggiante perché può spostarsi tra VNIC diverse in istanze all'interno della stessa subnet. È inoltre possibile utilizzarlo come endpoint diverso per ospitare servizi diversi.

• IP pubblici

  I servizi di rete definiscono un indirizzo IPv4 pubblico scelto da Oracle mappato a un IP privato. Gli IP pubblici hanno i seguenti tipi: Effimeri: questo indirizzo è temporaneo ed esiste per tutta la durata dell'istanza. Riservato: questo indirizzo persiste oltre la durata dell'istanza. È possibile annullarne l'assegnazione e riassegnarlo a un'altra istanza.

• Controllo dell'origine e della destinazione

  Ogni VNIC esegue il controllo di origine e destinazione sul relativo traffico di rete. La disabilitazione di questo flag consente ai firewall Fortinet FortiGate di gestire il traffico di rete non destinato al firewall.

• Forma di computazione

  La forma di un'istanza di computazione specifica il numero di CPU e la quantità di memoria allocata all'istanza. La forma di computazione determina anche il numero di VNIC e la larghezza di banda massima disponibile per l'istanza di computazione.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza per proteggere i carichi di lavoro di Oracle E-Business Suite o PeopleSoft in OCI utilizzando Fortinet FortiGate Firewall. I requisiti potrebbero essere diversi dall'architettura descritta in questa sezione.

• VCN

  Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ogni blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.

  Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, il data center on premise o un altro provider cloud) a cui si intende impostare connessioni private.

  Dopo aver creato una VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.

  Durante la progettazione delle subnet, prendi in considerazione i requisiti di flusso del traffico e sicurezza. Associare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

  Utilizza subnet regionali. Collegare i VCN condivisi secondo le esigenze in modo da poter inviare il traffico ai firewall VCN FortiGate dell'hub. Definire le tabelle di instradamento del firewall da e verso ciascun collegamento VCN dei gateway di instradamento dinamico.

• Fortinet FortiGate Firewall
  • Distribuire un cluster attivo-passivo e, se necessario, aggiungere altre istanze.
  • Se possibile, distribuire la distribuzione in domini di errore distinti a un dominio di disponibilità minimo o diverso.
  • Assicurarsi che MTU sia impostata su 9000 su tutte le VNIC.
  • Utilizzare interfacce VFIO (Virtual Function I/O).
• Fortinet FortiGate Firewall Management
  • Se crei una distribuzione ospitata in OCI, crea una subnet dedicata per la gestione.
  • Utilizzare le liste di sicurezza o i gruppi NSG per limitare l'accesso in entrata alle porte 443 e 22 provenienti da Internet per l'amministrazione del criterio di sicurezza e per visualizzare log ed eventi.
• Criteri firewall

  Per informazioni più aggiornate sui criteri, le porte e i protocolli di sicurezza necessari, consultare la documentazione del firewall nella sezione Esplora altro. Se sei aggiornato, assicurati di aver configurato i criteri di traduzione degli indirizzi di rete richiesti o i criteri di sicurezza abilitati nelle istanze del firewall Fortinet FortiGate.

Considerazioni

Quando si proteggono i carichi di lavoro Oracle E-Business Suite o PeopleSoft su OCI utilizzando Fortinet FortiGate Firewall, tenere presenti i fattori riportati di seguito.

• Prestazioni
  • La selezione della dimensione corretta dell'istanza, determinata dalla forma di computazione, determina il throughput massimo disponibile, la CPU, la RAM e il numero di interfacce.
  • Le organizzazioni devono sapere quali tipi di traffico attraversano l'ambiente, determinare i livelli di rischio appropriati e applicare controlli di sicurezza appropriati in base alle esigenze. Le diverse combinazioni di controlli di sicurezza abilitati influiscono sulle prestazioni.
  • Considera di aggiungere interfacce dedicate per i servizi FastConnect o VPN. Prendere in considerazione l'uso di forme di computazione di grandi dimensioni per un throughput più elevato e l'accesso a più interfacce di rete.
  • Eseguire i test delle prestazioni per convalidare la progettazione può mantenere le prestazioni e il throughput richiesti.
• Sicurezza

  La distribuzione di Fortinet FortiManager in OCI consente la configurazione centralizzata dei criteri di sicurezza e il monitoraggio di tutti i firewall Fortinet FortiGate fisici e virtuali.

• Disponibilità

  Distribuisci l'architettura in aree geografiche distinte per garantire la massima ridondanza. Configura VPN site-to-site con reti organizzative appropriate per la connettività ridondante con reti on premise.

• Costo

  Fortinet FortiGate offre liste di licenza BYOL (Pay-as-you-go) in Oracle Cloud Marketplace e FortiManager è disponibile nelle liste BYOL in Oracle Cloud Marketplace.

Distribuzione

È possibile distribuire il firewall FortiGate in OCI utilizzando Oracle Cloud Marketplace. È inoltre possibile scaricare il codice da GitHub e personalizzarlo in base ai requisiti aziendali specifici per la distribuzione di questa architettura. Oracle consiglia di distribuire l'architettura da Oracle Cloud Marketplace.È inoltre possibile scaricare il codice da GitHub e personalizzarlo in base ai requisiti aziendali specifici.

• Distribuisci utilizzando lo stack in Oracle Cloud Marketplace:
  1. Impostare l'infrastruttura di rete richiesta come indicato nel diagramma dell'architettura.
  2. Distribuire l'applicazione (Oracle E-Business Suite o PeopleSoft) nel proprio ambiente.
  3. Oracle Cloud Marketplace prevede più elenchi per configurazioni e requisiti di licenza diversi. Ad esempio, la seguente funzionalità di elenco offre il modello BYOL (Bring Your Own License). Per ogni elenco scelto, fare clic su Ottieni applicazione e seguire i prompt visualizzati:
     • Elenchi Fortinet FortiGate BYOL
     • FortiManager Centralized Security Management (BYOL)
     • Elenchi di Fortinet Marketplace
• Distribuzione mediante il codice Terraform in GitHub:
  1. Andare a GitHub.
  2. Duplicare o scaricare il repository nel computer locale.
  3. Seguire le istruzioni riportate nel documento README.

Visualizza altro

Ulteriori informazioni sull'uso di FortiGate con Oracle Cloud Infrastructure.

Materiali di riferimento Oracle Cloud Infrastructure:

• Struttura sulle migliori prassi per Oracle Cloud Infrastructure
• Panoramica sulla sicurezza di Oracle Cloud Infrastructure
• Acquisire informazioni sulla distribuzione di Oracle E-Business Suite in Oracle Cloud Infrastructure
• Scopri di più sulla distribuzione di PeopleSoft su Oracle Cloud Infrastructure
• Acquisire informazioni sull'uso del gateway di instradamento dinamico per lo spostamento del traffico verso il firewall
• Distribuisci i firewall FortiGate e proteggi i tuoi carichi di lavoro sul workshop OCI

Materiali di riferimento Fortinet FortiGate:

• Oracle Cloud Infrastructure Administration Guide di FortiGate
• Proteggi Oracle PeopleSoft Suite con Fortinet Security Fabric
• Fortinet FortiGate - Hub e architettura Spoke