1. Proteggi i tuoi carichi di lavoro cloud con Palo Alto Networks VM Firewall e semplifica il tuo progetto
  2. Proteggi i tuoi carichi di lavoro sul cloud con il firewall Palo Alto Networks VM Series e semplifica il tuo progetto

Proteggi i tuoi carichi di lavoro sul cloud con il firewall Palo Alto Networks VM Series e semplifica il tuo progetto

La sicurezza nel cloud si basa su un modello di responsabilità condivisa. Oracle è responsabile della sicurezza dell'infrastruttura di base, ad esempio strutture del data center, hardware e software, per gestire le operazioni e i servizi cloud. I clienti sono responsabili della protezione dei carichi di lavoro e della configurazione sicura dei servizi e delle applicazioni per soddisfare i propri obblighi di conformità.

Oracle Cloud Infrastructure (OCI) offre la migliore tecnologia di sicurezza e processi operativi per proteggere i propri servizi cloud aziendali. I firewall della serie VM per OCI garantiscono una prevenzione coerente delle minacce e la sicurezza della rete in linea negli ambienti cloud, aiutando i team addetti alla sicurezza di rete a ottenere visibilità e controllo sul traffico nelle proprie reti cloud. Come parte della famiglia di NGFW basati su ML di Palo Alto Networks, la serie VM offre tutte le stesse funzionalità dei firewall hardware leader del settore Palo Alto in un fattore di forma VM, garantendo un prerequisito altamente scalabile per gli ambienti cloud.

Le VM-Series ampliano le funzionalità dei firewall Layer 7 integrandole perfettamente nelle sottoscrizioni di sicurezza fornite dal cloud a Palo Alto Networks, ad esempio gli altri firewall di nuova generazione di Palo Alto Networks (firewall container serie CN e firewall fisici serie PA) e Prisma Access. Questi abbonamenti alla sicurezza forniti tramite cloud coordinano le funzionalità di intelligence e forniscono protezioni in tutti i vettori di attacco. Questa sicurezza elimina le lacune di copertura generate dagli strumenti di sicurezza di rete diversi e offre un'esperienza di piattaforma coerente per proteggere la tua organizzazione dalle minacce più avanzate e da quelle più evasive.

Questa architettura di riferimento mostra come utilizzare il firewall VM-Series per proteggere i carichi di lavoro e fornire un modello basato su Terraform per distribuire l'architettura.

Architettura

Questa architettura di riferimento illustra in che modo le organizzazioni possono proteggere le applicazioni Oracle, ad esempio Oracle E-Business Suite, PeopleSoft e le applicazioni distribuite in OCI utilizzando il firewall della serie VM Palo Alto Networks con load balancer di rete flessibili e semplificare la progettazione mediante gateway di instradamento dinamico (DRG).

Per proteggere questi flussi di traffico, Palo Alto Networks consiglia di segmentare la rete utilizzando una topologia hub e spoke, in cui il traffico viene instradato attraverso un hub centrale ed è collegato a più reti distinte (spokes). Assicurarsi di aver distribuito più istanze di VM-Series tra load balancer di rete flessibili, considerate una topologia sandwich. Tutto il traffico tra razze, da e verso Internet, da e verso l'ambiente on premise o su Oracle Services Network, viene instradato attraverso l'hub e ispezionato con le tecnologie di prevenzione delle minacce su più livelli del firewall Palo Alto Networks VM-Series.

Distribuisci ogni livello della tua applicazione nella propria rete cloud virtuale (VCN), che funge da parlante. La VCN hub contiene un cluster attivo-attivo Palo Alto Networks VM-Series, un gateway Internet Oracle, un DRG, Oracle Service Gateway e load balancer di rete flessibili interni ed esterni.

La VCN hub si connette ai VCN parlanti tramite un DRG. Ogni VCN dispone di un allegato al gateway DRG che consente loro di comunicare tra loro. Tutto il traffico spoke utilizza le regole della tabella di instradamento per instradare il traffico attraverso il gateway DRG all'hub utilizzando un load balancer di rete flessibile per l'ispezione da parte del cluster firewall Palo Alto Networks VM-Series.

È possibile configurare e gestire localmente il firewall Palo Alto Networks oppure gestirlo centralmente utilizzando Panorama, il sistema di gestione della sicurezza centralizzato Palo Alto Networks. Panorama consente ai clienti di ridurre la complessità e il carico di lavoro amministrativo nella gestione di configurazione, criteri, software e aggiornamenti dinamici dei contenuti. Utilizzando i gruppi di dispositivi e i modelli in Panorama, è possibile gestire in modo efficace la configurazione specifica del firewall in locale su un firewall e applicare criteri condivisi in tutti i firewall o gruppi di dispositivi.

Il diagramma riportato di seguito illustra questa architettura di riferimento.

Segue la descrizione di drg_nlb_oci_pan_arch.png
Descrizione dell'immagine drg_nlb_oci_pan_arch.png

Ogni flusso di traffico garantisce che i criteri NAT (Network Address Translation) e di sicurezza siano aperti su un firewall della serie VM. Il load balancer di rete flessibile attualmente supportato richiede che tu abiliti il metodo NAT di origine sui firewall da cui esce il traffico.

Traffico Internet in entrata nord-sud

Il diagramma riportato di seguito mostra in che modo il traffico in entrata nord-sud accede al livello di applicazione Web da Internet.

Segue la descrizione di North_south_inbound.png
Descrizione dell'immagine North_south_inbound.png

Traffico Internet in uscita Nord-Sud

Il diagramma riportato di seguito illustra come le connessioni in uscita dai livelli di applicazione Web e database a Internet forniscono aggiornamenti software e l'accesso ai servizi Web esterni.

Segue la descrizione di North_south_outbound.png
Descrizione dell'immagine North_south_outbound.png

Traffico est-ovest (web to database)

Il diagramma riportato di seguito illustra lo spostamento del traffico dall'applicazione Web al livello di database.

Segue la descrizione di east_west_w2db.png
Descrizione dell'immagine east_west_w2db.png

Traffico est-ovest (da database a Web)

Il diagramma riportato di seguito illustra lo spostamento del traffico dal livello di database all'applicazione Web.

Segue la descrizione di east_west_db2w.png
Descrizione dell'immagine east_west_db2w.png

Traffico est-ovest (applicazione Web a Oracle Services Network)

Il diagramma riportato di seguito illustra lo spostamento del traffico dall'applicazione Web a Oracle Services Network.

Segue la descrizione di east_west_webapp2osn.png
Descrizione dell'immagine east_west_webapp2osn.png

Traffico est-ovest (Oracle Services Network to Web Application)

Il diagramma riportato di seguito illustra lo spostamento del traffico da Oracle Services Network all'applicazione Web.

Segue la descrizione di east_west_osn2webapp.png
Descrizione dell'immagine east_west_osn2webapp.png

L'architettura prevede i componenti elencati di seguito.
  • Palo Alto network VM-Series firewall

    Offre tutte le funzionalità dei firewall di nuova generazione fisici in un modulo di virtual machine (VM), garantendo sicurezza della rete in linea e prevenzione delle minacce per proteggere in modo coerente cloud pubblici e privati.

  • Livello applicazione Oracle E-Business Suite o PeopleSoft

    Composto da server e file system delle applicazioni Oracle E-Business Suite o PeopleSoft.

  • Livello di database Oracle E-Business Suite o PeopleSoft

    Composto da Oracle Database ma non limitato a servizi Oracle Exadata Database Cloud o Oracle Database.

  • Area

    Un'area OCI è un'area geografica localizzata contenente uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).

  • Dominio di disponibilità

    I domini di disponibilità sono data center indipendenti e standalone all'interno di un'area geografica. Le risorse fisiche presenti in ciascun dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, il che garantisce la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, né la rete interna del dominio di disponibilità. Pertanto, è improbabile che un errore di un dominio di disponibilità influisca sugli altri domini di disponibilità nell'area.

  • Dominio di errore

    Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando distribuisci le risorse su più domini di errore, le applicazioni possono tollerare errori del server fisico, manutenzione del sistema e errori di alimentazione all'interno di un dominio di errore.

  • Rete cloud virtuale (VCN) e subnet

    Una VCN è una rete personalizzabile e definita dal software impostata dall'utente in un'area OCI. Come le reti di data center tradizionali, le VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN nelle subnet, che puoi includere in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono con le altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • VCN hub

    La VCN hub è una rete centralizzata in cui vengono distribuiti i firewall VM-Series Palo Alto Networks. Offre una connettività sicura a tutti i VCN condivisi, servizi OCI, endpoint pubblici e client, nonché reti di data center on premise. VCN a più livelli applicazione La VCN a più livelli applicazione contiene una subnet privata per ospitare i componenti di Oracle E-Business Suite o PeopleSoft.

  • VCN partecipata a livello di database

    La VCN intervenuta a livello di database contiene una subnet privata per l'hosting dei database Oracle.

  • Load balancer

    Il servizio di bilanciamento del carico OCI fornisce la distribuzione automatica del traffico da un punto di immissione singolo a più server nell'endpoint backend.

  • Load balancer di rete flessibile

    Il load balancer di rete flessibile di OCI offre la distribuzione automatica del traffico da un punto di accesso a più server backend nelle VCN. Funziona a livello di connessione e load balancer le connessioni client in entrata ai server backend in buono stato in base ai dati del protocollo Layer3 o Layer4 (IP).

  • Lista di sicurezza

    Per ogni subnet, puoi creare regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

  • Tabella di instradamento

    Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite i gateway. Nella VCN hub sono disponibili le seguenti tabelle di instradamento:

    • Tabella di instradamento di gestione collegata alla subnet di gestione, che dispone di un instradamento predefinito connesso al gateway Internet.
    • Tabella di instradamento non attendibile associata alla subnet non attendibile o alla VCN predefinita per l'instradamento del traffico dalla VCN dell'hub a Internet o alle destinazioni VCN parlato in locale tramite il gateway DRG. Questa tabella di instradamento contiene anche voci per ogni instradamento blocco CIDR VCNs parlato tramite DRG.
    • Tabella di instradamento sicuro collegata alla subnet trust che punta al blocco CIDR dei VCN parlanti tramite il DRG.
    • Tabella di instradamento del load balancer di rete (NLB) collegata alla subnet NLB che punta al blocco CIDR dei VCN condivisi tramite il DRG.
    • Per ogni riferimento collegato all'hub da un DRG, viene definita una tabella di instradamento distinta e la destinazione di instradamento viene utilizzata come DRG. La tabella di instradamento inoltra tutto il traffico (0.0.0.0/0) dalla VCN spoke ai DRG tramite il load balancer di rete flessibile interno oppure puoi definirlo anche a livello granulare.
    • Tabella di instradamento del gateway del servizio Oracle collegata al gateway del servizio Oracle per la comunicazione di Oracle Services Network. Questo percorso inoltra tutto il traffico (0.0.0.0/0) all'IP VIP del load balancer della rete privata interna.
    • Per mantenere la simmetria del traffico, vengono aggiunti anche gli instradamenti a ogni firewall della serie VM di Palo Alto Networks per puntare il blocco CIDR del traffico parlato all'IP del gateway predefinito della subnet trust (interno) e al blocco CIDR predefinito (0.0.0.0/0) che punta all'IP del gateway predefinito della subnet non attendibile. L'IP gateway predefinito è disponibile nella subnet sicura nella VCN hub.
  • Gateway Internet

    Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

  • Gateway NAT

    Il gateway NAT consente alle risorse private di una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

  • Gateway di instradamento dinamico (DRG)

    DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra una VCN e una rete esterna all'area geografica, ad esempio una VCN in un'altra area OCI, una rete in locale o una rete in un altro provider cloud.

  • Gateway del servizio

    Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, ad esempio lo storage degli oggetti OCI. Il traffico dalla rete VCN al servizio Oracle si sposta attraverso il fabric di rete Oracle e non pubblica mai Internet.

  • FastConnect

    OCI FastConnect offre un modo semplice per creare una connessione dedicata e privata tra il tuo data center e OCI. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

  • Scheda interfaccia di rete virtuale (VNIC)

    I servizi nei centri dati OCI sono dotati di schede di interfaccia di rete fisica (NIC, Physical Network Interface Card). Le istanze VM comunicano utilizzando NIC virtuali (VNIC) associati ai NIC fisici. Ogni istanza dispone di una VNIC primaria creata e collegata automaticamente durante la distribuzione e disponibile durante la durata dell'istanza. DHCP viene offerto solo alla VNIC primaria. Puoi aggiungere le VNIC secondarie dopo la distribuzione dell'istanza. Impostare IP statici per ciascuna interfaccia.

  • IP privati

    Indirizzo IPv4 privato e informazioni correlate per l'indirizzamento di un'istanza. Ogni VNIC dispone di un IP privato primario ed è possibile aggiungere e rimuovere gli IP privati secondari. L'indirizzo IP privato primario di un'istanza viene collegato durante la distribuzione dell'istanza e non cambia durante la durata dell'istanza. Gli IP secondari appartengono inoltre allo stesso CIDR della subnet della VNIC. L'IP secondario viene usato come IP galleggiante perché può spostarsi tra VNIC diverse in istanze all'interno della stessa subnet. È inoltre possibile utilizzarlo come endpoint diverso per ospitare servizi diversi.

  • IP pubblici
    I servizi di rete definiscono un indirizzo IPv4 pubblico scelto da Oracle mappato a un IP privato. Gli IP pubblici sono di tipo:
    • Effimero: questo indirizzo è temporaneo ed esiste per tutta la durata dell'istanza.
    • Riservato: questo indirizzo persiste oltre la durata dell'istanza. È possibile annullarne l'assegnazione e riassegnarlo a un'altra istanza.
  • Controllo dell'origine e della destinazione

    Ogni VNIC esegue il controllo di origine e destinazione sul relativo traffico di rete. La disabilitazione di questo flag consente al firewall Palo Alto Networks VM-Series di gestire il traffico di rete non destinato al firewall.

  • Forma di computazione

    La forma di un'istanza di computazione specifica il numero di CPU e la quantità di memoria allocata all'istanza. La forma di computazione determina anche il numero di VNIC e la larghezza di banda massima disponibile per l'istanza di computazione.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza per proteggere i carichi di lavoro Oracle E-Business Suite o PeopleSoft in OCI utilizzando il firewall VM-Series Palo Alto Networks. I requisiti potrebbero essere diversi dall'architettura descritta in questa sezione.
  • VCN

    Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ogni blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.

    Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, il data center on premise o un altro provider cloud) a cui si intende impostare connessioni private.

    Dopo aver creato una VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.

    Durante la progettazione delle subnet, prendi in considerazione i requisiti di flusso del traffico e sicurezza. Associare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

    Se desideri ispezionare il traffico della VCN spoke, usa le subnet regionali e assicurati che il CIDR della VCN spoke sia completamente associato alle subnet spoke.

  • Palo Alto Networks VM-Series firewall
    • Distribuire un cluster attivo-attivo e aggiungere le istanze necessarie.
    • Se possibile, distribuire la distribuzione in domini di errore distinti a un dominio di disponibilità minimo o diverso.
    • Assicurarsi che MTU sia impostata su 9000 su tutte le VNIC. Utilizza interfacce VFIO.
  • Gestione del firewall Palo Alto Networks VM-Series
    • Se crei una distribuzione ospitata in OCI, crea una subnet dedicata per la gestione.
    • Utilizzare le liste di sicurezza o i gateway del servizio di rete per limitare l'accesso in entrata alle porte 443 e 22, provenienti da Internet per l'amministrazione del criterio di sicurezza e per visualizzare log ed eventi.
  • Criteri firewall Palo Alto Networks VM-Series

    Consultare la documentazione del firewall nella sezione Esplora ulteriori informazioni sulle informazioni più aggiornate sui criteri, le porte e i protocolli di sicurezza necessari. Assicurarsi di aver configurato i criteri di traduzione degli indirizzi di rete necessari abilitati nelle istanze del firewall VM-Series.

Considerazioni

Quando si proteggono i carichi di lavoro Oracle E-Business Suite o PeopleSoft su OCI utilizzando i firewall Palo Alto Networks VM-Series, tenere presenti i seguenti fattori:

  • Prestazioni
    • La selezione della dimensione corretta dell'istanza, determinata dalla forma di computazione, determina il throughput massimo disponibile, la CPU, la RAM e il numero di interfacce.
    • Le organizzazioni devono sapere quali tipi di traffico attraversano l'ambiente, determinare i livelli di rischio appropriati e applicare controlli di sicurezza appropriati in base alle esigenze. Le diverse combinazioni di controlli di sicurezza abilitati influiscono sulle prestazioni.
    • Considera di aggiungere interfacce dedicate per i servizi FastConnect o VPN.
    • Prendere in considerazione l'uso di forme di computazione di grandi dimensioni per un throughput più elevato e l'accesso a più interfacce di rete.
    • Eseguire i test delle prestazioni per convalidare la progettazione può mantenere le prestazioni e il throughput richiesti.
  • Sicurezza

    La distribuzione di un firewall Palo Alto Networks VM-Series in OCI consente la configurazione centralizzata dei criteri di sicurezza e il monitoraggio di tutte le istanze VM-Series di Palo Alto Networks fisiche e virtuali.

  • Disponibilità
    • Distribuisci l'architettura in aree geografiche distinte per garantire la massima ridondanza.
    • Configura VPN site-to-site con reti organizzative appropriate per la connettività ridondante con reti on premise.
  • Costo
    I modelli di licenza Palo Alto Networks VM-Series Firewall sono disponibili nei modelli di licenza BYOL (Bring-Your-own-license) e Pay As You Go per i bundle 1 e 2 in Oracle Cloud Marketplace.
    • Il bundle 1 include la licenza di capacità VM-Series, la licenza di prevenzione delle minacce e un'abilitazione al supporto premium.
    • Il bundle 2 include la licenza di capacità VM-Series dotata della suite completa di licenze che include la prevenzione delle minacce, WildFire, il filtro degli URL, la sicurezza DNS, GlobalProtect e un supporto di livello eccellente.

Distribuzione

È possibile distribuire il firewall VM-Series su OCI utilizzando Oracle Cloud Marketplace. È inoltre possibile scaricare il codice da GitHub e personalizzarlo in base ai requisiti aziendali specifici. Oracle consiglia di distribuire l'architettura da Oracle Cloud Marketplace.
  • Distribuisci utilizzando lo stack in Oracle Cloud Marketplace:
    1. Impostare l'infrastruttura di rete richiesta come indicato nel diagramma dell'architettura. Vedere l'esempio, Impostare una topologia di rete hub e spoke.
    2. Distribuire l'applicazione (Oracle E-Business Suite o PeopleSoft o applicazioni) nel proprio ambiente.
    3. Oracle Cloud Marketplace prevede più elenchi per configurazioni e requisiti di licenza diversi. Ad esempio, la seguente funzionalità di elenco offre la tua licenza (modello BYOL) o pagata. Per ogni elenco scelto, fare clic su Ottieni applicazione e seguire i prompt visualizzati:
  • Distribuzione mediante il codice Terraform in GitHub:
    1. Andare a GitHub.
    2. Duplicare o scaricare il repository nel computer locale.
    3. Seguire le istruzioni riportate nel documento README.

Visualizza altro

Per ulteriori informazioni sulle funzioni di questa architettura e sulle risorse correlate, consultare le seguenti pubblicazioni aggiuntive: