Oracle CloudにPalo Alto Networks VMシリーズ・ファイアウォールをデプロイすることで、Siebelワークロードを保護

アーキテクチャ

このアーキテクチャは、Oracle Cloud Infrastructure (OCI)のPalo Alto Networks VMシリーズ・ファイアウォールを使用するOracle Siebelデプロイメントを示しています。

Palo Alto Networks (PAN) VMは、OCI Consoleのマーケットプレイスから直接デプロイ可能です。このリファレンスアーキテクチャをガイダンスとして使用して設計を検証するには、Palo Alto Networksと直接連携して作業することが重要です。

Palo Alto Networksと複数のOCI VCNデプロイメントがアーキテクチャ図に示されています。これにより、南北および東西のトラフィックを制御できます。

North-South Traffic: Palo Alto Networks VMは、信頼できないソースやクラウド・ネットワークからクラウド・ネットワークへのトラフィックを保護して、信頼できないソースに到達します。
East-West Traffic: Palo Alto Networks VMは、仮想クラウド・ネットワーク(VCN)間のクラウド環境内でのトラフィックを保護します。

Palo Alto Networksは、トラフィックが中央ハブを介してルーティングされ、複数の異なるネットワーク(スポーク)に接続されているハブおよびスポークトポロジを使用してネットワークをセグメント化することを推奨しますが、次のアーキテクチャでは、北南および東西のすべてのトラフィックが、セキュリティを強化するためにPAN VMシリーズのファイアウォールを通過しているとみなされます。これは、会社のセキュリティー標準および要件によって異なります。

Oracle Siebelのすべての内部および外部トラフィックは、Palo Alto Networks VMを通過する必要があります。VCN間にローカル・ピアリングが設定されていないため、Siebelアプリケーション・サブネットとSiebelデータベース・サブネット間のトラフィック・フローはすべてPalo Alto Networks VMを通過して、より高度なセキュリティと拡張セキュリティを実現する必要があります。

次の図は、このリファレンス・アーキテクチャを示しています。

deploy-siebel-palo-alto-vm-firewall.pngの説明が続きます

図deploy-siebel-palo-alto-vm-firewall.pngの説明

deploy-siebel-palo-alto-vm-firewall-oracle.zip

このアーキテクチャには次のコンポーネントがあります。

リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立し、広大な距離(国または大陸間)を分離できます。
コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のリージョン間論理パーティションです。コンパートメントを使用して、Oracle Cloudでリソースを編成し、リソースへのアクセスを制御して、使用の割当て制限を設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、リソースにアクセスできるユーザーおよび実行できるアクションを指定するポリシーを定義します。
可用性ドメイン
可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。可用性ドメインでは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラストラクチャは共有されません。そのため、ある可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響することはほとんどありません。
フォルト・ドメイン
フォルト・ドメインは、アベイラビリティ・ドメイン内のハードウェアおよびインフラストラクチャのグループ。各可用性ドメインには、独立した電源とハードウェアを備えた3つのフォルト・ドメインがあります。複数のフォルト・ドメインにリソースを分散すると、アプリケーションは物理サーバーの障害、システム・メンテナンスおよびフォルト・ドメイン内の電源障害を許容できます。
仮想クラウド・ネットワーク(VCN)とサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境を完全に制御できます。VCNには複数の重複しないCIDRブロックを含めることができ、VCNの作成後に変更できます。VCNをサブネットに分割できます。サブネットは、リージョンまたは可用性ドメインにスコープ指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続したアドレスの範囲で構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックまたはプライベートにできます。

OCIにVMシリーズ・ファイアウォールをデプロイするには、VCNに管理インタフェース用に少なくとも3つの仮想ネットワーク・インタフェース・カード(VNIC)と2つのデータ・インタフェースが必要です。
PAN VMシリーズのファイアウォール
Palo Alto Networks VMシリーズのファイアウォールは、Palo Alto Networksの次世代ファイアウォールの仮想化形式です。これは、東西および北南のトラフィックを保護および保護できる仮想化環境またはクラウド環境での使用を目的としています。
ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、1つのエントリ・ポイントからVCNからアクセス可能な複数のサーバーへの自動トラフィック分散を提供します。このサービスは、選択したパブリックまたはプライベートのIPアドレスと、プロビジョニングされた帯域幅を備えたロード・バランサを提供します。ロード・バランサは、リソース使用率を改善し、スケーリングを容易にし、高可用性を実現します。ロード・バランサがトラフィックを正常なインスタンスのみに送信するように、複数のロード・バランシング・ポリシーおよびアプリケーション固有のヘルス・チェックを構成できます。ロード・バランサは、メンテナンスのためにサービスからトラフィックを削除する前に、異常なアプリケーション・サーバーからトラフィックを排除することによって、メンテナンス・ウィンドウを短縮できます。ロード・バランシング・サービスを使用すると、VCN内にパブリックまたはプライベートのロード・バランサを作成できます。パブリック・ロード・バランサには、インターネットからアクセスできるパブリックIPアドレスがあります。プライベート・ロード・バランサには、ホストしているサブネットからのIPアドレスがあります(これはVCN内でのみ表示されます)。専用サブネットは、将来の要件のためにプライベート・ロード・バランサまたはパブリック・ロード・バランサ用に作成されます。Oracle Cloud Infrastructure Web Application Firewall (WAF)を使用するOCIパブリック・ロード・バランサは、インターネットに直接接続されているWebアプリケーションまたはHTTPベースのAPI向けとみなされます。
アプリケーション層
アプリケーション層には、Oracle Siebel 2021アプリケーションのコンピュート・インスタンスが含まれます。この設計では、アプリケーションは仮想マシンにデプロイされ、アプリケーション層のすべてのコンピュート・インスタンスがプライベート・サブネットにアタッチされます。したがって、アプリケーションは、トポロジ内の他のすべてのリソースからネットワーク・レベルで分離され、不正なネットワーク・アクセスから遮断されます。NATゲートウェイを使用すると、アプリケーション層のプライベート・コンピュート・インスタンスがクラウド外のホストにアクセスできます(たとえば、アプリケーション・パッチや外部統合をダウンロードする場合)。NATゲートウェイを介して、プライベート・サブネット内のコンピュート・インスタンスはインターネットへの接続を開始してレスポンスを受信できますが、インターネット上のホストから開始されたインバウンド接続を受信しません。サービス・ゲートウェイを使用すると、アプリケーション層のプライベート・コンピュート・インスタンスがリージョン内のYumサーバーにアクセスして、オペレーティング・システムの更新や追加パッケージを取得できます。サービス・ゲートウェイを使用すると、パブリック・インターネットを横断せずに、リージョン内のOracle Cloud Infrastructure Object Storageにアプリケーションをバックアップすることもできます。アプリケーション層のコンポーネントは、Oracle Siebelアプリケーションによって生成される共有バイナリおよびデータを格納するために、共有Oracle Cloud Infrastructure File Storageにアクセスできます。
データベース層
データベース層には、Oracle Cloud Infrastructure Databaseインスタンスが含まれます。VM Database/IaaSマシンまたはOracle Database Exadata Cloud Serviceは、データベースの要件によって異なります。サービス・ゲートウェイを使用すると、パブリック・インターネットを横断せずに、リージョン内のOracle Cloud Infrastructure Object Storageにデータベースをバックアップできます。
セキュリティ・リスト
サブネットごとに、サブネット内外で許可されるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
ネットワーク・アドレス変換(NAT)ゲートウェイ
NATゲートウェイを使用すると、VCN内のプライベート・リソースで、それらのリソースを受信インターネット接続に公開することなく、インターネット上のホストにアクセスできます。
サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。
クラウド・ガード
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructureでのリソースのセキュリティをモニターおよび保守できます。クラウド・ガードは、ディセクタ・レシピを使用して、セキュリティ脆弱性のリソースを調査し、オペレータおよびユーザーをリスクのあるアクティビティを監視します。構成ミスや安全でないアクティビティが検出された場合、クラウド・ガードは是正措置を推奨し、定義できるレスポンダ・レシピに基づいてこれらのアクションの実行を支援します。
セキュリティ・ゾーン
セキュリティ・ゾーンにより、データの暗号化やコンパートメント全体のネットワークへのパブリック・アクセスの防止などのポリシーを適用することで、Oracleのセキュリティのベスト・プラクティスが開始から保証されます。セキュリティ・ゾーンは同じ名前のコンパートメントに関連付けられており、セキュリティ・ゾーン・ポリシーまたはコンパートメントとそのサブコンパートメントに適用されるレシピが含まれます。標準コンパートメントは、セキュリティ・ゾーン・コンパートメントに追加または移動できません。

Oracle Maximum Security Zoneは、Oracleの最も厳しいレシピで、厳格なポリシー強制があります。
ゲートウェイサービスクラスタおよびゲートウェイレジストリサービス
Oracle Siebel Gatewayは、Siebel Serverとサーバー・コンポーネント、およびSiebelアプリケーション・インタフェースおよびその他のモジュールの動的アドレス・レジストリを提供します。Siebelアプリケーション・インタフェースとSiebel Gatewayは連携してSiebel Serverロード・バランシングを提供します。また、Siebel Gatewayには、Siebel Server、Siebel Application Interface、およびその他のインストール可能なコンポーネントの構成情報に関する永続的なストレージがレジストリに含まれています。

Oracle Siebel CRMでは、Siebel Gatewayのネイティブ・クラスタリング機能をオプションでサポートし、Siebel CRMのお客様に高可用性の利点を提供します。この機能はソフトウェアレベルで動作し、Siebel Gatewayをクラスタ化するための推奨および推奨の方法です。クラスタリング機能は、Siebel Gatewayサービス(アプリケーションコンテナ)とSiebel Gatewayレジストリの両方をサポートします。

推奨

開始点として次の推奨事項を使用します。要件がここで説明するアーキテクチャとは異なる場合があります。

VCN
- VCNを作成する際、VCNのサブネットにアタッチする予定のリソース数に基づいて、必要なCIDRブロックの数および各ブロックのサイズを決定します。標準プライベートIPアドレス領域内にあるCIDRブロックを使用します。
- プライベート接続を設定する予定のその他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
  
  VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
- サブネットを設計する際は、トラフィック・フローおよびセキュリティ要件を考慮してください。セキュリティ境界として機能する、特定の層またはロール内のすべてのリソースを同じサブネットにアタッチします。
- リージョナル・サブネットを使用します。
- プライベート・サブネットは、VCN内外のトラフィックのフローを制御する個別のルート表を持つことをお薦めします。
セキュリティ
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティをプロアクティブに監視および保守します。Cloud Guardは、セキュリティ上の弱点についてリソースを調査し、オペレータやユーザーにリスクのあるアクティビティを監視するために定義できるディテクタ・レシピを使用します。構成ミスや安全でないアクティビティが検出された場合、クラウド・ガードは是正措置を推奨し、定義できるレスポンダ・レシピに基づいてこれらのアクションの実行を支援します。

最大限のセキュリティが必要なリソースの場合、Oracleではセキュリティ・ゾーンを使用することをお薦めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づくOracle定義のセキュリティ・ポリシーのレシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースにパブリック・インターネットからアクセスできず、顧客管理キーを使用して暗号化する必要があります。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、セキュリティ・ゾーン・レシピのポリシーに対する操作が検証され、ポリシーに違反する操作が拒否されます。
クラウド・ガード
Oracleが提供するデフォルトのレシピをクローニングおよびカスタマイズして、カスタム・ディテクタおよびレスポンダ・レシピを作成します。これらのレシピを使用すると、警告を生成するセキュリティ違反のタイプとその実行を許可するアクションを指定できます。たとえば、可視性がpublicに設定されているオブジェクト・ストレージ・バケットを検出できます。

テナンシ・レベルでCloud Guardを適用して、広範な範囲に対応し、複数の構成を維持する管理上の負担を減らします。

管理対象リスト機能を使用して、特定の構成を検出者に適用することもできます。
セキュリティ・ゾーン
最大限のセキュリティが必要なリソースの場合、Oracleではセキュリティ・ゾーンを使用することをお薦めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づくOracle定義のセキュリティ・ポリシーのレシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースにパブリック・インターネットからアクセスできず、顧客管理キーを使用して暗号化する必要があります。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、セキュリティ・ゾーン・レシピのポリシーに対する操作が検証され、ポリシーに違反する操作が拒否されます。
ネットワーク・セキュリティ・グループ(NSG)
NSGを使用して、特定のVNICに適用されるイングレス・ルールおよびエグレス・ルールのセットを定義できます。NSGでは、VCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。
ロード・バランサの帯域幅
ロード・バランサの作成時に、固定帯域幅を提供する事前定義済のシェイプを選択するか、帯域幅範囲を設定し、トラフィック・パターンに基づいてサービスが自動的に帯域幅をスケーリングできるようにするカスタム(柔軟性の高い)シェイプを指定できます。どちらの方法でも、ロード・バランサの作成後いつでもシェイプを変更できます。

注意事項

Oracle Cloud Infrastructure (OCI)にOracle Siebel CRMおよびPalo Alto Networks VMシリーズ・ファイアウォールをデプロイする場合は、次のことを考慮してください。

VCN
AVCNは、ネットワーク環境を完全に制御します。これには独自のプライベートIPアドレス領域の割当て、サブネットの作成、ルート表の作成、およびステートフル・ファイアウォールの構成が含まれます。これは従来のネットワークとよく似ていますが、使用するように選択できるファイアウォール・ルールや特定のタイプの通信ゲートウェイがあります。
OCIにVMシリーズ・ファイアウォールをデプロイするには、VCNに管理インタフェース用に少なくとも3つの仮想ネットワーク・インタフェース・カード(VNIC)と2つのデータ・インタフェースが必要です。
- VCN CIDRブロックが、Oracle Cloud Infrastructureの他のVCN (同じリージョンまたは別のリージョン)および組織のプライベートIPネットワーク範囲と重複しないようにしてください。
- VCNのCIDRブロックは、ピア接続している別のネットワークのCIDRと重複することはできません。
- VCNまたはサブネット内で、すべてのIPアドレスが同時に割り当てられていないことを確認しながら、今後の使用のために一部のIPアドレスを予約します。
- ルーティング要件が類似したホストは、複数の可用性ドメインにわたって同じルーティング表を使用できます。たとえば、パブリック・ホスト、プライベート・ホストおよびNATインスタンスなどです。
- セキュリティ・リストがファイアウォールとして使用され、North-South(着信および発信VCNトラフィック)とEast-West (複数のサブネット間の内部VCNトラフィック)の接続を管理し、サブネット・レベルで適用されるようにします。そのサブネット内のすべてのインスタンスは、そのSLのすべてのセキュリティ・ルールを継承します。
- Oracle (169.254.0.0/16)で使用するために予約されているIPアドレスを除外する必要があります。
- VCNは、選択した1つの連続するIPv4 CIDRブロックを対象としています。VCN内では、クラスタ・ホスト用に個別のIPv4サブネットをデプロイできます。各サブネットへのアクセスはセキュリティ・リストによって制御されます。追加のセキュリティーは、ファイアウォールによってホストレベルで制御されます。サブネットは、VCNで定義された下位区分です。各サブネットは、VCN内の他のサブネットと重複しない連続したIPアドレスの範囲で構成されます。1つの可用性ドメイン内またはリージョン全体にわたって存在するサブネットを指定できます。サブネットはVCN内の構成ユニットとして機能します。特定のサブネット内のすべてのVNICは、同じルート表、セキュリティ・リストおよびDHCPオプションを使用します。サブネットは、作成時にパブリックまたはプライベートとして指定できます。プライベートは、サブネット内のVNICがパブリックIPアドレスを持つことができないことを意味します。パブリックは、サブネット内のVNICが任意にパブリックIPアドレスを持つことができます。ネットワーク・アクセスを制御するには、VCNに階層化サブネット戦略が使用されます。一般的な設計パターンでは、次のサブネット階層が使用されます:
  - 外部からアクセス可能なホストおよび仮想ファイアウォール・アプライアンスのパブリック・サブネット。
  - データベース、アプリケーション・サーバー、プライベート・ロード・バランサなど、内部ホスト用のプライベート・サブネット。
  - パブリック・ロード・バランサ用のDMZサブネット。
- OCIは一連のルート表を使用してVCNからトラフィックを送信し、各サブネットに1つのルート表を追加します。サブネットは、VCNのディビジョンです。ルート表を指定しない場合、サブネットはVCNのデフォルト・ルート表を使用します。各ルート表ルールは、宛先CIDRブロックと、CIDRに一致するトラフィックの次のホップ(ターゲット)を指定します。宛先IPアドレスがVCNの指定されたCIDRブロック外にある場合、OCIはサブネットのルート表のみを使用します。VCN内のトラフィックを有効にするためにルート・ルールは不要です。また、トラフィックに重複するルールがある場合、OCIはルート表内の最も具体的なルールを使用してトラフィックをルーティングします。
パフォーマンス
- 適切なインスタンス・サイズ(コンピュート・シェイプによって決定される)の選択によって、使用可能な最大スループット、CPU、RAMおよびインタフェース数が決まります
- FastConnectまたはVPNサービスに専用インタフェースを追加することを検討してください。
- 大規模なコンピュート・シェイプを使用してスループットを向上し、より多くのネットワーク・インタフェースにアクセスすることを検討してください。
データ量に応じて、Oracle Cloud Infrastructure FastConnectまたはIPSec VPNを使用してコストを管理できます。アクセスを高速化するために、頻繁にアクセスする必要があるファイルをOracle Cloud Infrastructure Object Storage標準層に格納できます。
セキュリティ
OCIにPalo Alto Networks VMシリーズ・ファイアウォールを導入することで、セキュリティ・ポリシーの一元的な構成と、すべての物理および仮想Palo Alto Networks VMシリーズ・インスタンスの監視が可能になります。
可用性
- 冗長性を最大限に高めるために、アーキテクチャを個別の地理的リージョンに配置します。
- オンプレミス・ネットワークとの冗長接続のために、関連する組織ネットワークを備えたサイト間VPNを構成します。
- Oracleの高可用性ベスト・プラクティスを検討します。
コスト
Palo Alto Networks VM-Series Firewallは、Oracle Cloud Marketplaceのバンドル1およびバンドル2のBring-your-own-license (BYOL)およびPay As You Goライセンス・モデルで使用できます。
- バンドル1には、VMシリーズの容量ライセンス、脅威の防止ライセンス、およびプレミアム・サポートの資格が含まれています。
- バンドル2には、脅威防止、WildFire、URLフィルタリング、DNSセキュリティ、GlobalProtect、およびプレミアム・サポート資格を含む、完全なライセンス・スイートを備えたVMシリーズの容量ライセンスが含まれています。

デプロイ

You can deploy the VM-Series firewall on Oracle Cloud Infrastructure (OCI) using Oracle Cloud Marketplace.また、GitHubからコードをダウンロードし、特定のビジネス要件にあわせてカスタマイズすることもできます。 Oracleでは、Oracle Cloud Marketplaceからアーキテクチャをデプロイすることをお薦めします。

Oracle Cloud Marketplaceのスタックを使用してデプロイします:
1. アーキテクチャの図に示すように、必要なネットワーク・インフラストラクチャを設定します。ハブ・アンド・スポーク・ネットワーク・トポロジの設定の例を参照してください。
2. Oracle Siebelなどのアプリケーションを環境にデプロイします。
3. Oracle Cloud Marketplaceには、構成とライセンスのさまざまな要件に対応する複数のリストがあります。たとえば、次のリスト機能によって、独自のライセンス(BYOL)または有料が提供されます。選択したリストごとに、「アプリケーションの取得」をクリックし、画面上のプロンプトに従います。
  - Palo Alto Networks VMシリーズ・ファイアウォールBYOL
  - Palo Alto Networks VMシリーズのファイアウォール・リスト
GitHubでTerraformコードを使用してデプロイ:
1. GitHubに移動します。
2. ローカル・コンピュータにリポジトリをクローニングまたはダウンロードします。
3. READMEドキュメントの指示に従います。

もっとよく知る

Oracle Cloud InfrastructureのPalo Alto Networks VM-Seriesファイアウォールを使用したOracle Siebel Customer Relationship Management (CRM)のデプロイの詳細をご確認ください。

次の追加リソースを確認します。