Proteggi i carichi di lavoro con Cisco Threat Defense utilizzando un load balancer di rete flessibile

Secure Firewall Threat Defense Virtual porta le funzionalità firewall di nuova generazione di Cisco negli ambienti virtualizzati, consentendo ai criteri di sicurezza coerenti di seguire i carichi di lavoro negli ambienti fisico, virtuale e cloud e tra i cloud.

Cisco Secure Firewall supporta la piattaforma Oracle Cloud Infrastructure (OCI) per implementare le funzioni di sicurezza di nuova generazione, quali visibilità e controllo delle applicazioni, sistema di prevenzione delle intrusioni, protezione malware avanzata, filtro URL e rete privata virtuale. È inoltre possibile abilitare il feed di intelligence della sicurezza fornendo il team di ricerca di intelligence delle minacce di Cisco Talos.

Architettura

Questa architettura di riferimento illustra come le organizzazioni possono proteggere le applicazioni Oracle, come Oracle E-Business Suite e PeopleSoft, distribuite in Oracle Cloud Infrastructure (OCI) utilizzando Cisco Threat Defense Firewall con un load balancer di rete flessibile e miglioramenti dinamici dei gateway di instradamento.

Per proteggere questi flussi di traffico, Oracle consiglia di segmentare la rete utilizzando una rete cloud virtuale dedicata (VCN), in cui il traffico viene instradato tramite un hub di transito ed è connesso a più reti distinte (spoke). Assicurarsi di aver distribuito più istanze di Threat Defense tra load balancer di rete flessibili considerati come topologia sandwich. Tutto il traffico, da e per Internet, da e per on-premise, o alla rete Oracle Services, viene instradato attraverso le tecnologie di prevenzione delle minacce multistrato di Cisco Secure Firewall.

Distribuire ogni livello dell'applicazione nella propria rete cloud virtuale (VCN), che funge da spoke. Il VCN hub contiene un cluster attivo del firewall Cisco Threat Defense, Oracle Internet Gateway, gateway di instradamento dinamico (DRG), Oracle Service Gateway e load balancer flessibili interni ed esterni.

L'hub VCN si connette ai VCN spoke tramite DRG. Tutto il traffico parlato utilizza le regole della tabella di instradamento per instradare il traffico attraverso DRG all'hub utilizzando il load balancer di rete flessibile per l'ispezione da parte del cluster Cisco Threat Defense Firewall.

In una distribuzione Cisco Secure Firewall è possibile utilizzare un centro di gestione firewall sicuro per gestire Threat Defense. Un centro di gestione fornisce una gestione completa e unificata sulla difesa delle minacce. Passa facilmente dalla gestione di un firewall al controllo delle applicazioni per indagare e riparare i focolai di malware.

Il seguente diagramma illustra questa architettura di riferimento.

Descrizione dell'immagine cisco_nlb_nw_vm_oci.png

Ogni flusso di traffico garantisce che la traduzione degli indirizzi di rete (NAT) e i criteri di sicurezza siano aperti su Cisco Threat Defense Firewall.

Traffico in entrata nord-sud

Il seguente diagramma illustra come il traffico in entrata nord-sud accede al livello dell'applicazione Web da Internet e dai data center remoti.

Descrizione dell'immagine cisco_nlb_north_south_inbound.png

Traffico in uscita nord-sud

Il diagramma seguente illustra in che modo le connessioni in uscita dall'applicazione Web e dai livelli di database a Internet forniscono aggiornamenti software e accesso a servizi Web esterni.

Descrizione dell'immagine cisco_nlb_north_South_outbound.png

Traffico est-ovest (dal web al database)

Nel diagramma seguente viene illustrato come il traffico passa dall'applicazione Web al livello di database.

Descrizione dell'immagine cisco_nlb_east_west_web_db.png

Traffico est-ovest (da database a web)

Nel diagramma seguente viene illustrato come il traffico si sposta dal livello di database all'applicazione Web.

Descrizione dell'immagine cisco_nlb_east_west_db_web.png

Traffico est-ovest (applicazione Web alla rete Oracle Services)

Nel diagramma seguente viene illustrato come il traffico passa dall'applicazione Web alla rete Oracle Services.

Descrizione dell'immagine cisco_nlb_east_west_webapp_osn.png

Traffico est-ovest (dalla rete Oracle Services all'applicazione Web)

Nel diagramma seguente viene illustrato come il traffico passa dalla rete Oracle Services all'applicazione Web.

Descrizione dell'immagine cisco_nlb_east_west_osn_webapp.png

Le architetture hanno i seguenti componenti:

• Cisco Secure Firewall- Difesa minacce virtuale

  Cisco Secure Firewall Threat Defense Virtual offre le stesse funzionalità di un firewall fisico in forma VM (Virtual Machine), offrendo sicurezza di rete in linea e prevenzione delle minacce per proteggere in modo coerente i cloud pubblici e privati.

• Livello applicazione Oracle E-Business Suite o PeopleSoft

  Composto da server applicazioni e file system Oracle E-Business Suite o PeopleSoft.

• Livello di database Oracle E-Business Suite o PeopleSoft

  Composto da Oracle Database, ma non limitato al servizio Oracle Exadata Database Cloud o ai servizi Oracle Database.

• Area

  Un'area OCI è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni, e vaste distanze possono separarle (tra paesi o addirittura continenti).

• Dominio di disponibilità

  I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area. Le risorse fisiche in ogni dominio di disponibilità vengono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza agli errori. I domini di disponibilità non condividono un'infrastruttura come l'alimentazione o il raffreddamento oppure la rete interna del dominio di disponibilità. È improbabile che l'eventuale guasto di un dominio di disponibilità influenzi gli altri domini di disponibilità della regione.

• Dominio di errore

  Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità ha tre domini di guasto con alimentazione e hardware indipendenti. Quando si distribuiscono risorse su più domini di errore, le applicazioni possono tollerare errori fisici del server, la manutenzione del sistema e gli errori di alimentazione all'interno di un dominio di errore.

• Rete cloud virtuale (VCN) e subnet

  Un VCN è una rete customizzabile e definita dal software impostata in un'area OCI. Come le reti di data center tradizionali, offre controllo completo sull'ambiente di rete. Un VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo la creazione di VCN. È possibile segmentare un VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet in VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• VCN hub

  L'hub VCN è una rete centralizzata in cui vengono distribuiti i firewall Cisco Threat Defense. Fornisce connettività sicura a tutte le VCN parlate, ai servizi OCI, agli endpoint e ai client pubblici e alle reti di data center in locale.

• Il livello applicazione ha parlato di VCN

  Il livello applicazione parlava di VCN contiene una subnet privata per ospitare i componenti Oracle E-Business Suite o PeopleSoft.

• Il livello di database ha parlato di VCN

  Il livello di database parlato da VCN contiene una subnet privata per l'hosting dei database Oracle.

• Load balancer

  Il servizio di bilanciamento del carico OCI fornisce la distribuzione automatica del traffico da un punto di accesso singolo a più server nell'estremità backend.

• Load balancer di rete flessibile

  Il load balancer di rete flessibile di OCI fornisce la distribuzione automatica del traffico da un punto di accesso a più server backend nelle reti cloud virtuali. Funziona a livello di connessione e bilancia il carico delle connessioni client in entrata ai server backend sani in base ai dati di Layer3/Layer4 (protocollo IP).

• Lista di sicurezza

  Per ogni subnet è possibile creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

• Tabella di instradamento

  Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni al di fuori di un VCN, in genere tramite gateway. Nell'hub VCN sono disponibili le tabelle di instradamento riportate di seguito.

  • Tabella di instradamento di gestione collegata alla subnet di gestione con un instradamento predefinito connesso al gateway Internet.
  • Tabella di instradamento esterna collegata alla subnet esterna o a VCN predefinito per il traffico di instradamento dall'hub VCN alle destinazioni Internet o on-premise.
    • Questa tabella di instradamento contiene anche voci che puntano alle subnet in locale utilizzando il gateway di instradamento dinamico. Questa configurazione garantisce che non si verifichino interruzioni del traffico durante il supporto di traduzione dell'indirizzo di rete nativo futuro.
    • Questa tabella di instradamento contiene anche voci per ogni instradamento blocco CIDR VCN spoke attraverso gateway di instradamento dinamico.
  • Tabella di instradamento interna collegata alla subnet interna che punta al blocco CIDR delle VCN parlate attraverso gateway di instradamento dinamico.
  • Tabella di instradamento diagnostico collegata alla subnet diagnostica al blocco CIDR in cui si desidera inviare il traffico.
  • Tabella di instradamento NLB collegata alla subnet nlb che punta al blocco CIDR della subnet in locale tramite gateway di instradamento dinamico.
  • La tabella di instradamento Ingresso VCN hub è collegata all'allegato VCN hub per inviare qualsiasi traffico in entrata dai VCN spoke tramite il gateway di instradamento dinamico al load balancer di rete interno.
  • Per ogni spoke collegato all'hub tramite gateway di instradamento dinamico, viene definita una tabella di instradamento distinta e collegata a una subnet associata. La tabella di instradamento inoltra tutto il traffico (0.0.0.0/0) da VCN spoke associato a gateway di instradamento dinamico tramite il load balancer di rete flessibile interno oppure è possibile definirlo anche a livello granulare.
  • Tabella di instradamento del gateway del servizio Oracle collegata al gateway del servizio Oracle per la comunicazione di rete Oracle Service. Questo instradamento inoltra tutto il traffico (0.0.0.0/0) al firewall Cisco Threat Defense all'interno degli IP dell'interfaccia.
  • Per mantenere la simmetria del traffico, gli instradamenti vengono aggiunti anche a ogni firewall Cisco Threat Defense per puntare il blocco CIDR del traffico spoke all'interno (interno) dell'IP gateway predefinito della subnet (IP gateway predefinito disponibile nella subnet interna nell'hub VCN) e il blocco CIDR predefinito (0.0.0.0/0) che punta all'IP gateway predefinito della subnet esterna.
• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in un VCN e Internet pubblico.

• Gateway NAT

  Il gateway NAT consente alle risorse private di un VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

• Gateway di instradamento dinamico (DRG)

  DRG è un router virtuale che fornisce un percorso per il traffico di rete privata tra un VCN e una rete al di fuori dell'area, ad esempio un VCN in un'altra area OCI, una rete in locale o una rete in un altro provider cloud.

• Gateway del servizio

  Il gateway del servizio fornisce l'accesso da un VCN ad altri servizi, ad esempio la memorizzazione degli oggetti OCI. Il traffico da VCN al servizio Oracle viaggia attraverso il fabric di rete Oracle e non passa mai attraverso Internet.

• FastConnect

  OCI FastConnect offre un modo semplice per creare una connessione privata dedicata tra il data center e OCI. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

• Scheda interfaccia di rete virtuale (VNIC)

  I servizi presenti nei data center OCI dispongono di schede di interfaccia di rete (NIC) fisiche. Le istanze VM comunicano utilizzando NIC virtuali (VNIC) associate alle NIC fisiche. Ogni istanza dispone di una VNIC primaria creata e collegata automaticamente durante il lancio ed è disponibile durante la vita dell'istanza. DHCP è offerto solo alla VNIC primaria. È possibile aggiungere VNIC secondarie dopo l'avvio dell'istanza. Impostare IP statici per ogni interfaccia.

• IP privati

  Indirizzo IPv4 privato e informazioni correlate per l'indirizzamento di un'istanza. Ogni VNIC ha un IP privato primario ed è possibile aggiungere e rimuovere IP privati secondari. L'indirizzo IP privato primario di un'istanza è collegato durante l'avvio dell'istanza e non cambia durante la vita dell'istanza. I IP secondari appartengono anche allo stesso CIDR della subnet della VNIC. L'IP secondario viene utilizzato come IP mobile perché può spostarsi tra VNIC diverse su istanze diverse all'interno della stessa subnet. È inoltre possibile utilizzarlo come endpoint diverso per ospitare servizi diversi.

• IP pubblici

  I servizi di rete definiscono un indirizzo IPv4 pubblico scelto da Oracle mappato a un IP privato. Gli IP pubblici hanno i seguenti tipi:

  • Ephemeral: questo indirizzo è temporaneo ed esiste per tutta la durata dell'istanza.
  • Riservato: questo indirizzo persiste oltre la durata dell'istanza. È possibile annullarne l'assegnazione e riassegnarlo a un'altra istanza.
• Controllo origine e destinazione

  Ogni VNIC esegue il controllo di origine e destinazione sul suo traffico di rete. La disabilitazione di questo flag consente a Cisco Threat Defense Firewall di gestire il traffico di rete non indirizzato al firewall.

• Forma di computazione

  La forma di un'istanza di calcolo specifica il numero di CPU e la quantità di memoria allocata all'istanza. La forma Calcola determina anche il numero di VNIC e la larghezza di banda massima disponibile per l'istanza di calcolo.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza per proteggere i carichi di lavoro Oracle E-Business Suite o PeopleSoft su OCI utilizzando i firewall Cisco Threat Defense.

• VCN

  Quando si crea un VCN, determinare il numero di blocchi CIDR richiesti e la dimensione di ciascun blocco in base al numero di risorse che si prevede di associare alle subnet in VCN. Utilizzare blocchi CIDR che si trovano all'interno dello spazio degli indirizzi IP privati standard.

  Selezionare blocchi CIDR che non si sovrappongono a nessun'altra rete (in Oracle Cloud Infrastructure, nel data center in locale o in un altro provider cloud) a cui si intende impostare connessioni private.

  Dopo aver creato un VCN, è possibile modificare, aggiungere e rimuovere i blocchi CIDR.

  Quando si progettano le subnet, prendere in considerazione il flusso di traffico e i requisiti di sicurezza. Allegare tutte le risorse all'interno di uno specifico livello o ruolo alla stessa subnet, che può fungere da limite di sicurezza.

  Utilizzare subnet regionali.

  Collegare i VCN parlati in base alle esigenze, in modo da poter inviare il traffico al firewall VCN Cisco Threat Defense hub. Definire le tabelle di instradamento del firewall da e per ogni allegato VCN dei gateway di instradamento dinamico.

• Cisco Firewall Management Center
  • Quando si sceglie un modello di centro di gestione, prendere in considerazione il numero di dispositivi di difesa delle minacce che gestisce.
  • Stimare il volume dei registri generati contemporaneamente dal dispositivo di difesa delle minacce e assicurarsi che il centro di gestione sia progettato per gestire tale volume.
  • Per determinare il modello corretto per la distribuzione, vedere il foglio dati.
• firewall Cisco Secure Threat Defense
  • Una difesa dalle minacce richiede un minimo di quattro interfacce.
  • Distribuire un cluster attivo e, se necessario, aggiungere altre istanze.
  • Selezionare una forma OCI appropriata. Per forma si intende un modello che determina il numero di CPU, la quantità di memoria e le altre risorse allocate a un'istanza. FTDv supporta i seguenti tipi di forma OCI:

    Forma OCI	OCPU*	RAMO	Interfacce
    VM.Standard2.4	4	60 GB	Min 4, Max 4
    VM.Standard2.8	8	120 GB	Min 4, Max 8

    * In OCI, 1 oCPU è uguale a 2 vCPU.
• Connettività firewall
  • Un centro di gestione firewall sicuro e una difesa dalle minacce utilizzano la porta TCP 8305 per comunicare tra loro. Assicurarsi che la porta sia aperta per la comunicazione di gestione interna.
  • Se si sta creando una distribuzione ospitata in OCI, creare una subnet dedicata per la gestione.
  • Utilizzare liste di sicurezza o NSG per limitare l'accesso in entrata alle porte 443 (per l'accesso GUI) e 22 (per l'accesso CLI) provenienti da Internet per l'amministrazione del criterio di sicurezza e per visualizzare i log e gli eventi.
  • Per impostazione predefinita, le appliance Firepower vengono configurate per connettersi a Internet sulle porte 443/tcp (HTTPS) e 80/tcp (HTTP). Se non si desidera che le appliance abbiano accesso diretto a Internet, è possibile configurare un server proxy.
• Criteri firewall

  Per le informazioni più aggiornate sui criteri, le porte e i protocolli di sicurezza richiesti, fare riferimento alla documentazione firewall nella sezione Esplora di più. L'aggiornamento garantisce di aver configurato i criteri di traduzione degli indirizzi di rete richiesti abilitati nelle istanze del firewall Cisco Threat Defense.

Considerazioni

Quando si proteggono i carichi di lavoro Oracle E-Business Suite o PeopleSoft su OCI utilizzando il firewall Cisco Threat Defense, prendere in considerazione i seguenti fattori:

• Prestazioni
  • La selezione della dimensione dell'istanza corretta, determinata dalla forma Calcola, determina il throughput massimo disponibile, la CPU, la RAM e il numero di interfacce.
  • Le organizzazioni devono sapere quali tipi di traffico attraversano l'ambiente, determinare i livelli di rischio appropriati e applicare i controlli di sicurezza appropriati, se necessario. Diverse combinazioni di controlli di sicurezza abilitati influiscono sulle prestazioni.
  • Considerare l'aggiunta di interfacce dedicate per i servizi FastConnect o VPN.
  • Considerare l'utilizzo di forme di calcolo di grandi dimensioni per un throughput superiore e l'accesso a più interfacce di rete.
  • Eseguire test delle prestazioni per convalidare la progettazione in grado di supportare le prestazioni e il throughput richiesti.
  • Utilizzare queste metriche come linea guida:

    Metrica	FTDv5	FTDv10	FTDv20/30	FTDv50/100
    Tipi di forma OCI	VM.Standard2.4	VM.Standard2.4	VM.Standard2.4	VM.Standard2.4
    Throughput: FW + AVC (1024B)	100 Mbps	1 Gbps	1.2 Gbps	2.4 Gbps
    Throughput: FW + AVC + IPS (1024B)	100 Mbps	1 Gbps	1.2 Gbps	2.4 Gbps
    Throughput: FW + AVC (450B)	100 Mbps	410 Mbps	410 Mbps	920 Mbps
    Throughput: FW + AVC + IPS (450B)	100 Mbps	390 Mbps	390 Mbps	910 Mbps
    Numero massimo di sessioni concorrenti	250,000	250,000	250,000	2M
    Valore massimo nuove sessioni al secondo	4900	4900	4900	10.000
    Numero massimo di peer VPN	250	250	250	10.000
    Throughput VPN IPSec (1024B) TCP w/Fastpath)	100 Mbps	1 Gbps	1.2 Gbps	1.5 Gbps

    Per comprendere meglio questi numeri di prestazioni, vedere "Foglio dati di Cisco Threat Defense", a cui si fa riferimento nell'argomento Esplora altro di questa architettura di riferimento.
• Sicurezza

  La distribuzione di Cisco Firepower Management Center in OCI consente la configurazione centralizzata dei criteri di sicurezza e il monitoraggio di tutti i firewall Cisco Threat Defense fisici e virtuali

• Disponibilità
  • Distribuire l'architettura in aree geografiche distinte per la massima ridondanza.
  • Configura VPN site-to-site con reti organizzative pertinenti per una connettività ridondante con reti on-premise.
• Costo

  I firewall Cisco Threat Defense e Cisco Firepower Management Center sono disponibili in BYOL (bring-your-own-license). Configurare tutte le abilitazioni per le licenze per i servizi di sicurezza dal Firepower Management Center. Per ulteriori informazioni su come gestire le licenze, vedere Licensing the Firepower System nella guida alla configurazione di Firepower Management Center.

Distribuzione

È possibile distribuire il firewall Threat Defense su Oracle Cloud Infrastructure utilizzando Oracle Cloud Marketplace. È inoltre possibile scaricare il codice da GitHub e personalizzarlo in base alle specifiche esigenze aziendali. Oracle consiglia di distribuire l'architettura da Oracle Cloud Marketplace.

• Distribuire utilizzando lo stack in Oracle Cloud Marketplace:
  1. Impostare l'infrastruttura di rete richiesta come illustrato nel diagramma di architettura.
  2. Distribuire l'applicazione (Oracle E-Business Suite o PeopleSoft) nell'ambiente in uso.
  3. Oracle Cloud Marketplace dispone di più elenchi per diverse configurazioni e requisiti di licenza. Ad esempio, la funzione Elenchi riportata di seguito porta la propria licenza (BYOL). Per ogni elenco scelto, fare clic su Ottieni applicazione e seguire i prompt sullo schermo:
     • firewall Cisco Threat Defense
     • Cisco Firepower Management Center
     • Elenchi del Marketplace Cisco
• Distribuzione con il codice Terraform in GitHub:
  1. Andare al repository di GitHub.
  2. Duplicare o scaricare il repository nel computer locale.
  3. Seguire le istruzioni contenute nel documento README.

Visualizza altro

Ulteriori informazioni sulle funzioni di questa architettura e sulle risorse correlate.

Materiali di riferimento Oracle Cloud Infrastructure:

• Framework Migliori prassi per Oracle Cloud Infrastructure
• Guida alla sicurezza di Oracle Cloud Infrastructure
• Informazioni sulla distribuzione di Oracle E-Business Suite in Oracle Cloud Infrastructure
• Ulteriori informazioni sulla distribuzione di PeopleSoft su Oracle Cloud Infrastructure
• Informazioni sulla distribuzione del load balancer di rete flessibile

Materiali di riferimento di Cisco Secure Firewall:

• Guida alla compatibilità di Cisco Firepower
• Guida per l'ordinamento della sicurezza di rete Cisco
• Porte di comunicazione richieste firewall sicuro
• Cisco Threat Defense nel manuale Oracle Cloud Infrastructure Guide
• Foglio dati firewall Cisco Threat Defense