1. Proteggi le applicazioni Web ospitate su Oracle Cloud VMware Solution con i certificati OCI
  2. Applicazioni Web sicure in hosting su Oracle Cloud VMware Solution con OCI Certificates

Applicazioni Web sicure in hosting su Oracle Cloud VMware Solution con certificati OCI

Pubblica le tue applicazioni strategiche in modo sicuro integrando Oracle Cloud VMware Solution con Oracle Cloud Infrastructure Certificates e Oracle Cloud Infrastructure Load Balancing (LBaaS).

Nel panorama in continua evoluzione del cloud computing, due componenti critici sono emersi come pilastri essenziali per ottimizzare le prestazioni, la sicurezza e la scalabilità delle applicazioni Web: load balancer e certificati SSL/TLS. Questi elementi svolgono un ruolo fondamentale nel garantire operazioni perfette, integrità dei dati e fiducia degli utenti all'interno dell'ambiente cloud.

I load balancer distribuiscono il traffico di rete in entrata su più server o istanze per evitare che un singolo server venga sovraccarico, garantendo così un utilizzo e una reattività ottimali.

Con le reti di attraversamento dei dati, garantire la loro riservatezza e integrità è fondamentale. È qui che entrano in gioco i certificati SSL / TLS. Questi certificati digitali vengono utilizzati per negoziare un canale di comunicazione cifrato, proteggendolo da intercettazioni, manomissioni o accessi non autorizzati.

La combinazione di load balancer e certificati SSL/TLS all'interno dell'infrastruttura cloud è una potente combinazione. I load balancer garantiscono una distribuzione efficiente del traffico, ottimizzando le prestazioni e prevenendo i sovraccarichi, mentre i certificati SSL/TLS proteggono le trasmissioni dei dati, garantendo riservatezza e integrità. Questa sinergia non solo migliora l'esperienza dell'utente finale, ma contribuisce anche in modo significativo al livello di sicurezza generale dei server Web ospitati su Oracle Cloud VMware Solution.

Oracle Cloud VMware Solution offre un ambiente cloud nativo basato su VMware gestito dal cliente e installato all'interno della tenancy del cliente e offre il controllo completo utilizzando strumenti VMware familiari.

Oracle Cloud Infrastructure (OCI) è un'offerta di nuova generazione, infrastructure-as-a-service (IaaS), progettata su principi di progettazione incentrati sulla sicurezza. Questi principi includono la virtualizzazione di rete isolata e l'implementazione di host fisici incontaminati, che in precedenza erano difficili da ottenere con i precedenti progetti di cloud pubblico. Con questi principi di progettazione, OCI aiuta a ridurre i rischi derivanti da minacce persistenti avanzate.

In questa architettura di riferimento vengono descritte le opzioni di integrazione per Oracle Cloud VMware Solution con Certificati OCI e Oracle Cloud Infrastructure Load Balancing (LBaaS), che consente ai clienti di pubblicare in modo sicuro le proprie applicazioni strategiche. Tuttavia, è possibile utilizzare LBaaS anche senza il servizio di certificazione.

Architettura

Questa architettura di riferimento logico si concentra sull'uso dei certificati OCI di fronte ai server Web in esecuzione all'interno dei carichi di lavoro Oracle Cloud VMware Solution.

I certificati vengono generati utilizzando i certificati OCI nativi e utilizzati dal load balancer di OCI Layer 7 per l'offloading SSL. I server Web sono in esecuzione all'interno dell'SDDC Oracle Cloud VMware Solution sotto forma di virtual machine (VM).

Questo diagramma logico rappresenta il flusso di traffico complessivo che descrive l'offload SSL nel load balancer di OCI Layer 7 ed è considerato attendibile dai certificati emessi dai certificati OCI.


Descrizione di ocvs-traffic-flow-diagram.png
Descrizione dell'immagine ocvs-traffic-flow-diagram.png

ocvs-traffic-flow-diagram-oracle.zip

Il diagramma successivo illustra i due tipi di opzioni di connettività di rete dal load balancer OCI ai server Web ospitati nell'SDDC Oracle Cloud VMware Solution. Descrive inoltre il rilascio dei certificati SSL dall'autorità di certificazione (CA) in esecuzione in OCI per l'accesso sicuro ai server Web integrandolo con il load balancer OCI.

Nota

I certificati emessi dai certificati OCI possono essere utilizzati solo all'interno del load balancer OCI e la funzionalità non può essere estesa ai server Web per SSL end-to-end.

Per quanto riguarda la connessione dei server Web ospitati in Oracle Cloud VMware Solution alla rete cloud virtuale, sono disponibili due opzioni di connettività:

  • Segmenti NSX
  • Gruppi di porte supportate dalla VLAN (Virtual Local Area Network)

I segmenti NSX sfruttano il software-defined networking (SDN) per creare reti isolate e logicamente segmentate. Questo approccio offre diversi vantaggi:

  • Microsegmentazione: i segmenti NSX consentono la microsegmentazione, consentendo l'isolamento e la sicurezza dei singoli carichi di lavoro.
  • Scalabilità dinamica: i segmenti NSX sono altamente scalabili e possono essere forniti su richiesta, adattando le modifiche al traffico di rete e ai requisiti del carico di lavoro.
  • Raggruppamento logico: le VM possono essere raggruppate in base ai livelli dell'applicazione o ai requisiti di sicurezza e i criteri possono essere applicati a livello di segmento, garantendo un'applicazione coerente in tutta la rete.
  • Gestione avanzata: NSX fornisce la gestione centralizzata per la configurazione di rete, i criteri di sicurezza e i flussi di traffico.

A differenza della natura dinamica dei segmenti NSX, i gruppi di porte supportati dalla VLAN utilizzano la tecnologia VLAN tradizionale per isolare le VM all'interno di un ambiente virtualizzato. Ecco alcune caratteristiche chiave di questo approccio:

  • Semplicità e familiarità: per le organizzazioni che hanno già familiarità con le VLAN, l'utilizzo di gruppi di porte con supporto VLAN può essere semplice e familiare, richiedendo una formazione aggiuntiva minima.
  • Condivisione delle risorse: sebbene le VLAN possano isolare il traffico di rete, potrebbero non fornire lo stesso livello di granularità dei segmenti NSX quando si tratta di applicazione dei criteri e microsegmentazione.

Scegliere l'approccio giusto

La decisione di utilizzare segmenti NSX o gruppi di porte con supporto VLAN dipende da vari fattori, tra cui le esigenze specifiche di un'organizzazione, l'infrastruttura esistente e i requisiti di sicurezza.

I segmenti NSX e i gruppi di porte basati su VLAN offrono vantaggi distinti nella gestione delle virtual machine all'interno di un ambiente virtualizzato. I segmenti NSX eccellono nella loro capacità di fornire microsegmentazione, ridimensionamento dinamico e gestione centralizzata, mentre i gruppi di porte con supporto VLAN offrono semplicità e familiarità per coloro che sono già abituati alla rete VMware tradizionale.

Nelle sezioni seguenti verranno mostrati gli aspetti di connettività LBaaS ai server Web distribuiti nei segmenti NSX e nei gruppi di porte con supporto VLAN.

Server Web connessi al segmento di sovrapposizione NSX

Connettere gli aspetti del load balancer OCI ai server Web connessi al segmento di overlay NSX nell'OCVS e utilizzare i certificati OCI per emettere i certificati per la pubblicazione sicura dei server Web in esecuzione nell'OCVS.

L'obiettivo principale di questa architettura di riferimento è quello di mostrare il seguente obiettivo.

  • Aspetto di connettività del load balancer OCI con server Web connessi al segmento di overlay NSX nell'SDDC Oracle Cloud VMware Solution.
  • Uso di Certificate Manager per emettere i certificati per la pubblicazione sicura dei server Web in esecuzione nell'SDDC Oracle Cloud VMware Solution.

Di seguito è illustrata l'architettura per i server Web connessi al segmento di rete overlay NSX.


Descrizione di web-server-nsx-diagram.png
Descrizione dell'immagine web-server-nsx-diagram.png

web-server-nsx-diagramma-oracle.zip

Componenti dell'architettura

L'architettura presenta i seguenti componenti.

  • Oracle Cloud VMware Solution: l'ambiente nella tenancy del cliente in cui vengono ospitati i server Web.
    • Segmento di overlay NSX: Il segmento di overlay NSX offre connettività di rete ai server Web.
    • Router Tier 0: un router logico che fornisce servizi di gateway tra la rete logica e fisica (Nord-Sud).
    • Router Tier 1: i segmenti di overlay NSX sono collegati al router Tier 1 e controllano il traffico Est-Ovest.
    • VLAN Uplink 1 NSX Edge: questa VLAN è un'interfaccia tra la rete di sublay OCI e la rete di overlay NSX per collegare la comunicazione tra le reti NSX (Overlay) e VCN (Sublay).
    • Web server: i Web server sono le VM distribuite all'interno dell'SDDC Oracle Cloud VMware Solution.
  • Load balancer OCI (LBaaS): load balancer di livello 7 OCI che bilancia il traffico verso i server Web. L'IP pubblico o l'IP fornito da OCI può essere utilizzato con il load balancer.
    • Controllo dello stato: i server Web backend sono configurati con controlli dello stato HTTP.
    • Listener: il listener è configurato con HTTPS per l'offload SSL.
  • Servizio OCI Certificate Manager: il servizio OCI Certificate Manager consente di fornire l'accesso sicuro SSL/TLS a server, applicazioni Web e così via. L'amministratore può creare e gestire gerarchie di autorità di certificazione (CA) private e certificati TLS integrati con OCI Load Balancing.
    • Certificate Authority (CA): le autorità di certificazione private sono configurate per emettere i certificati.
    • Vault: i vault forniscono la crittografia dei dati e delle applicazioni in crescita con uno storage scalabile delle chiavi.
    • Chiave: RSA (chiave asimmetrica) con modalità HSM è l'unica chiave supportata per i certificati.

Server Web connessi alla rete VLAN

Connettere il load balancer OCI ai server Web connessi al server vSphere DvPortGroup supportato dalla rete VLAN e utilizzare i certificati OCI per emettere i certificati per i server Web di pubblicazione sicuri in esecuzione nell'SDDC OCVS.

L'obiettivo principale di questa architettura di riferimento è quello di mostrare il seguente obiettivo.

  • Aspetto di connettività del load balancer OCI con server Web connessi a vSphere DvPortGroup supportato dalla rete VLAN.
  • Uso di OCI Certificate Manager per emettere i certificati per la pubblicazione sicura dei Web server in esecuzione nell'SDDC Oracle Cloud VMware Solution.

Di seguito è illustrata l'architettura dei server Web connessi alla rete basata su VLAN.


Descrizione di web-server-vlan-diagram.png
Descrizione dell'immagine web-server-vlan-diagram.png

web-server-vlan-diagramma-oracle.zip

Componenti dell'architettura

L'architettura presenta i seguenti componenti.

  • Oracle Cloud VMware Solution: l'ambiente nella tenancy del cliente in cui vengono ospitati i server Web.
    • Rete VLAN: una VLAN dedicata creata nella VCN di Oracle Cloud VMware Solution per i server Web. Questa rete è considerata una rete underlay.
    • vSphere Distributed Switch (VDS): switch virtuale nel vCenter per fornire funzionalità di networking virtuale ai carichi di lavoro Oracle Cloud VMware Solution.
    • Gruppo di porte distribuite vSphere: opzioni di configurazione delle porte per ogni porta membro. Rete supportata da VLAN per rappresentare l'underlay dei carichi di lavoro di Oracle Cloud VMware Solution.
    • Web server: i Web server sono le VM distribuite all'interno dell'SDDC Oracle Cloud VMware Solution.
  • Load balancer OCI (LBaaS): load balancer di livello 7 OCI che bilancia il traffico verso i server Web. L'IP pubblico o l'IP fornito da OCI può essere utilizzato con il load balancer.
    • Controllo dello stato: i server Web backend sono configurati con controlli dello stato HTTP.
    • Listener: il listener è configurato con HTTPS per l'offload SSL.
  • Certificati OCI: i certificati OCI consentono di fornire l'accesso sicuro SSL/TLS a server, applicazioni Web e così via. L'amministratore può creare e gestire gerarchie di autorità di certificazione (CA) private e certificati TLS integrati con OCI Load Balancing.
    • Certificate Authority (CA): autorità di certificazione private configurate per emettere i certificati.
    • Vault: i vault forniscono la crittografia dei dati e delle applicazioni in crescita con uno storage scalabile delle chiavi.
    • Chiave: RSA (chiave asimmetrica) con modalità HSM è l'unica chiave supportata per i certificati.

Informazioni sui servizi richiesti

Questa soluzione richiede i seguenti servizi:

  • Soluzione VMware per Oracle Cloud
  • Bilanciamento del carico OCI
  • Certificati OCI

Questi sono i ruoli necessari per ogni servizio.

Nome servizio Richiesto per...
Soluzione VMware per Oracle Cloud Eseguire i carichi di lavoro con VMware vSphere.
Bilanciamento del carico OCI Traffico del bilanciamento del carico.
Certificati OCI Emettere e gestire i certificati.

Consulta i prodotti, le soluzioni e i servizi Oracle per ottenere ciò di cui hai bisogno.