1. 柔軟なネットワーク・ロード・バランサを使用したPalo Alto Networks VM - Series Firewallによるワークロードの保護
  2. Palo Alto Networks VMシリーズ・ファイアウォールで柔軟なネットワーク・ロード・バランサを使用してワークロードを保護

Palo Alto Networks VMシリーズ・ファイアウォールで柔軟なネットワーク・ロード・バランサを使用してワークロードを保護

Palo Alto Networks VM - Series仮想次世代ファイアウォールは、カスタム・アプリケーションに対する完全なアプリケーション・トラフィックの可視性と制御、一貫したクロスクラウドのファイアウォール管理とポリシーの実施、マシン言語に基づく脅威からの保護とエキシングの防止、およびほとんどの動的環境に対応するための自動化されたデプロイメントとプロビジョニング機能を提供することで、マルチクラウド環境を保護します。

VMシリーズ仮想次世代ファイアウォールは、悪用、マルウェア、既知および未知の脅威、およびデータエクソフィラクションから保護することで、Oracle Cloud Infrastructureのネイティブ・ネットワーク・セキュリティ制御を強化します。

VMシリーズ仮想次世代ファイアウォールは、仮想マシン(VM)フォーム・ファクタ内の物理的な次世代ファイアウォールのすべての機能を提供し、パブリック・クラウドとプライベート・クラウド、仮想化データ・センターおよびブランチの場所を一貫して保護するためのインライン・ネットワーク・セキュリティと脅威防止を提供します。VMシリーズの仮想ファイアウォールは、完全な可視性と制御、一貫したポリシー強制、アプリケーション・セキュリティ、資料交換防止、コンプライアンスとリスク管理、セキュリティの自動化、クラウドに依存しない管理など、セキュリティ・チームがパブリック・クラウド環境を保護するために必要な機能を提供します。

  • 完全な可視性と制御環境全体で脅威を発見
  • 一貫性のあるポリシー適用によりクラス最高のセキュリティを実現
  • コンプライアンスとRisk Managementがより簡単に
  • セキュリティ自動化によるDevOpsの保護


palo_alto_nlb_adv_sec.pngの説明が続きます図palo_alto_nlb_adv_sec.pngの説明

アーキテクチャ

このリファレンス・アーキテクチャでは、Palo Alto Networks VM Series Firewallを柔軟なネットワーク・ロード・バランサとともに使用して、Oracle Cloud Infrastructure (OCI)にデプロイされたOracleアプリケーション(Oracle E-Business Suite、PeopleSoftなど)を組織で保護する方法を示します。

これらのトラフィック・フローを保護するために、Palo Alto Networksでは、トラフィックが中央ハブを介してルーティングされ、複数の異なるネットワーク(スポーク)に接続されるハブおよびスポーク・トポロジを使用してネットワークをセグメント化することをお薦めします。サンドイッチ・トポロジとみなされる柔軟なネットワーク・ロード・バランサ間に複数のVMシリーズ・インスタンスをデプロイしたことを確認します。インターネット、オンプレミスまたはOracle Services Networkとの間のすべてのトラフィックは、ハブを介してルーティングされ、Palo Alto Networks VM Series Firewallの多層脅威防止テクノロジで検査されます。

スポークとして機能する独自の仮想クラウド・ネットワーク(VCN)にアプリケーションの各層をデプロイします。ハブVCNには、Palo Alto Networks VM Series Firewallのアクティブ/アクティブ・クラスタ、Oracleインターネット・ゲートウェイ、動的ルーティング・ゲートウェイ(DRG)、Oracle Service Gateway、ローカル・ピアリング・ゲートウェイ(LPG )、内部および外部の柔軟なネットワーク・ロード・バランサが含まれています。

ハブVCNはLPGを介してスポークVCNに接続します。すべてのスポークトラフィックは、Palo Alto Networks VMシリーズファイアウォールクラスタによる検査のために、ルートテーブルルールを使用してLPG経由でハブにトラフィックをルーティングします。

Palo Alto Networksファイアウォールは、ローカルで構成および管理することも、Palo Alto Networks集中管理セキュリティ管理システムであるPanoramaを使用して集中管理することもできます。Panoramaは、構成、ポリシー、ソフトウェアおよび動的コンテンツ更新の管理における複雑さと管理オーバーヘッドを軽減するのに役立ちます。Panoramaでデバイス・グループおよびテンプレートを使用すると、ファイアウォール固有の構成をファイアウォールでローカルに効率的に管理し、すべてのファイアウォールまたはデバイス・グループに共有ポリシーを適用できます。

次の図は、この参照アーキテクチャを示しています。


palo_alto_nlb_nw_vm_oci.pngの説明が続きます図palo_alto_nlb_nw_vm_oci.pngの説明

各トラフィック・フローについて、Palo Alto Networks VM Series Firewallでネットワーク・アドレス変換(NAT)およびセキュリティ・ポリシーが開いていることを確認します。

北東インバウンド・トラフィック

次の図は、南北のインバウンド・トラフィックがインターネットおよびリモート・データ・センターからWebアプリケーション層にアクセスする方法を示しています。


palo_alto_nlb_north_south_inbound.pngの説明が続きます図palo_alto_nlb_north_south_inbound.pngの説明

北部アウトバウンド・トラフィック

次の図は、Webアプリケーション層およびデータベース層からインターネットへの送信接続によって、ソフトウェア更新および外部Webサービスへのアクセスがどのように提供されるかを示しています。


palo_alto_nlb_north_south_outbound.pngの説明が続きます図palo_alto_nlb_north_south_outbound.pngの説明

東西トラフィック(Webからデータベース)

次の図は、Webアプリケーションからデータベース層へのトラフィックの移動方法を示しています。


palo_alto_nlb_east_west_web_db.pngの説明が続きます図palo_alto_nlb_east_west_web_db.pngの説明

東西トラフィック(データベースからWeb)

次の図は、データベース層からWebアプリケーションへのトラフィックの移動方法を示しています。


palo_alto_nlb_east_west_db_web.pngの説明が続きます図palo_alto_nlb_east_west_db_web.pngの説明

East - West Traffic (WebアプリケーションからOracle Services Network)

次の図は、WebアプリケーションからOracle Services Networkへのトラフィックの移動方法を示しています。


palo_alto_nlb_east_west_webapp_osn.pngの説明が続きます図palo_alto_nlb_east_west_webapp_osn.pngの説明

東西トラフィック(Oracle Services Network to Web Application)

次の図は、Oracle Services NetworkからWebアプリケーションへのトラフィックの移動方法を示しています。


palo_alto_nlb_east_west_osn_webapp.pngの説明が続きます図palo_alto_nlb_east_west_osn_webapp.pngの説明

アーキテクチャには、次のコンポーネントがあります。

  • Palo Alto Networks VMシリーズファイアウォール

    物理次世代ファイアウォールのすべての機能を仮想マシン(VM)形式で提供し、パブリック・クラウドとプライベート・クラウドを一貫して保護するためのインライン・ネットワーク・セキュリティと脅威防止を実現します。

  • リージョン

    Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。地域は他の地域から独立しており、広大な距離で(国または大陸間で)分離できます。

  • 可用性ドメイン

    可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。可用性ドメインは、電源や冷却などのインフラストラクチャや内部可用性ドメイン・ネットワークを共有しません。したがって、ある可用性ドメインで障害が発生しても、リージョン内の他の可用性ドメインに影響する可能性はほとんどありません。

  • フォルト・ドメイン

    フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。各可用性ドメインには、独立した電源とハードウェアを持つフォルト・ドメインが3つあります。リソースを複数のフォルト・ドメインに分散する場合、アプリケーションでは、フォルト・ドメイン内の物理サーバー障害、システム・メンテナンスおよび電源障害を許容できます。

  • 仮想クラウド・ネットワーク(VCN)およびサブネット

    VCNは、Oracle Cloud Infrastructureリージョンで設定するカスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNではネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNは、リージョンまたは可用性ドメインにスコープ指定できるサブネットにセグメント化できます。各サブネットは、VCN内の他のサブネットと重複しない連続したアドレス範囲で構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックまたはプライベートにできます。

  • ハブVCN

    ハブVCNは、Palo Alto Networks VM - Seriesファイアウォールがデプロイされる集中型ネットワークです。すべてのスポークVCN、Oracle Cloud Infrastructureサービス、パブリック・エンドポイントとクライアント、およびオンプレミス・データ・センター・ネットワークへのセキュアな接続を提供します。

  • アプリケーション層のスポークVCN

    アプリケーション層スポークVCNには、Oracle E-Business SuiteまたはPeopleSoftコンポーネントをホストするプライベート・サブネットが含まれています。

  • データベース層のスポークVCN

    データベース層スポークVCNには、Oracleデータベースをホストするためのプライベート・サブネットが含まれています。

  • ロード・バランサ

    Oracle Cloud Infrastructure Load Balancingサービスは、バックエンドの複数のサーバーに対して、単一のエントリ・ポイントから自動トラフィック分散を提供します。

  • 柔軟なネットワーク・ロード・バランサ

    Oracle Cloud Infrastructureフレキシブル・ネットワーク・ロード・バランサは、仮想クラウド・ネットワーク内の複数のバックエンド・サーバーに対して、1つのエントリ・ポイントから自動トラフィック分散を提供します。これは接続レベルで動作し、Layer3/Layer4 (IPプロトコル)データに基づいて、正常なバックエンド・サーバーへの受信クライアント接続をロード・バランシングします。

  • セキュリティ・リスト

    サブネットごとに、サブネット内外で許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。

  • ルート・テーブル

    仮想ルート表には、通常はゲートウェイを介して、サブネットからVCN外部の宛先にトラフィックをルーティングするルールが含まれます。

    ハブVCNには、次のルート表があります。

    • インターネット・ゲートウェイに接続されたデフォルト・ルートを持つ管理サブネットにアタッチされた管理ルート表。
    • ハブVCNからインターネット・ターゲットまたはオンプレミス・ターゲットにトラフィックをルーティングするために、信頼できないサブネットまたはデフォルトのVCNにアタッチされた信頼されないルート表。

      このルート表には、動的ルーティング・ゲートウェイを使用してオンプレミス・サブネットを指す追加エントリもあります。これにより、将来のネイティブ・ネットワーク・アドレス変換のサポート中にトラフィックの中断が発生しなくなります。

    • 関連付けられたLPGを介してスポークVCNのCIDRブロックを指す信頼サブネットにアタッチされた信頼ルート表。
    • 動的ルーティング・ゲートウェイを使用してオンプレミス・サブネットのCIDRブロックを指すNLBサブネットにアタッチされたネットワーク・ロード・バランサ(NLB)ルート表。
    • ハブにアタッチされたスポークごとに、個別のルート表が定義され、関連付けられたLPGにアタッチされます。このルート表は、関連するスポークLPGから内部の柔軟なネットワーク・ロード・バランサを介してすべてのトラフィック(0.0.0.0/0)を転送します。また、粒度の細かいレベルで定義することもできます。
    • Oracle Services Network通信用のOracleサービス・ゲートウェイにアタッチされたOracleサービス・ゲートウェイのルート表。このルートでは、すべてのトラフィック(0.0.0.0/0)が内部ロード・バランサVIP IPに転送されます。
    • トラフィックの対称性を維持するために、各Palo Alto Networks VM - Series Firewallにもルートが追加され、スポーク・トラフィックのCIDRブロックが信頼(内部)サブネットのデフォルト・ゲートウェイIP (ハブVCNの信頼サブネットで使用可能なデフォルト・ゲートウェイIP)を指し、デフォルトCIDRブロック(0.0.0.0/0)が信頼されないサブネットのデフォルト・ゲートウェイIPを指します。
  • インターネット・ゲートウェイ

    インターネット・ゲートウェイでは、VCNのパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。

  • NATゲートウェイ

    NATゲートウェイを使用すると、VCNのプライベート・リソースは、受信インターネット接続に公開することなく、インターネット上のホストにアクセスできます。

  • ローカル・ピアリング・ゲートウェイ(LPG)

    LPGを使用すると、あるVCNを同じリージョン内の別のVCNとピアリングできます。ピアリングとは、VCNがプライベートIPアドレスを使用して通信することを意味し、トラフィックがインターネットを通過したり、オンプレミス・ネットワークを経由することはありません。

  • 動的ルーティング・ゲートウェイ(DRG)

    DRGは、VCNとリージョン外のネットワーク(別のOracle Cloud InfrastructureリージョンのVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダのネットワークなど)との間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。

  • SERVICE GATEWAY

    サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。

  • FastConnect

    Oracle Cloud Infrastructure FastConnectを使用すると、データ・センターとOracle Cloud Infrastructure間に専用のプライベート接続を簡単に作成できます。FastConnectは、インターネットベースの接続と比較して、より高帯域幅のオプションと、より信頼性の高いネットワーク・エクスペリエンスを提供します。

  • 仮想ネットワーク・インタフェース・カード(VNIC)

    Oracle Cloud Infrastructureデータ・センターのサービスには、物理ネットワーク・インタフェース・カード(NIC)があります。仮想マシン・インスタンスは、物理NICに関連付けられた仮想NIC (VNIC)を使用して通信します。各インスタンスには、起動時に自動的に作成およびアタッチされ、インスタンスの存続期間中に使用可能なプライマリVNICがあります。DHCPはプライマリVNICにのみ提供されます。セカンダリVNICは、インスタンスの起動後に追加できます。インタフェースごとに静的IPを設定する必要があります。

  • プライベートIP

    インスタンスをアドレス指定するためのプライベートIPv4アドレスおよび関連情報。各VNICにはプライマリ・プライベートIPがあり、セカンダリ・プライベートIPを追加および削除できます。インスタンスのプライマリ・プライベートIPアドレスは、インスタンスの起動時にアタッチされ、インスタンスの存続期間中は変更されません。セカンダリIPもVNICのサブネットの同じCIDRに属している必要があります。セカンダリIPは、同じサブネット内の異なるインスタンス上の異なるVNIC間で移動できるため、浮動IPとして使用されます。別のエンドポイントとして使用して、別のサービスをホストすることもできます。

  • パブリックIP

    ネットワーキング・サービスは、プライベートIPにマップされる、Oracleによって選択されるパブリックIPv4アドレスを定義します。

    • エフェメラル:このアドレスは一時アドレスで、インスタンスの存続期間中存在します。
    • 予約済:このアドレスは、インスタンスの存続期間を超えて存続します。割当て解除して、別のインスタンスに再割当てできます。
  • ソースと宛先のチェック

    すべてのVNICは、そのネットワーク・トラフィックに対してソースと宛先のチェックを実行します。このフラグをディセーブルにすると、CGNSはファイアウォールをターゲットとしないネットワークトラフィックを処理できます。

  • コンピュート・シェイプ

    コンピュート・インスタンスのシェイプは、インスタンスに割り当てられるCPUの数とメモリー量を指定します。コンピュート・シェイプによって、コンピュート・インスタンスで使用可能なVNICの数および最大帯域幅も決まります。

推奨事項

Palo Alto Networks VM - Series Firewallを使用してOracle Cloud Infrastructure上のOracle E-Business SuiteまたはPeopleSoftワークロードを保護するための開始点として、次の推奨事項を使用してください。 実際の要件は、ここで説明するアーキテクチャとは異なる場合があります。
  • VCN

    VCNを作成する場合、VCNのサブネットにアタッチする予定のリソースの数に基づいて、必要なCIDRブロックの数と各ブロックのサイズを決定します。標準のプライベートIPアドレス空間内にあるCIDRブロックを使用します。

    プライベート接続を設定する予定の他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ内)と重複しないCIDRブロックを選択します。

    VCNを作成した後、CIDRブロックを変更、追加および削除できます。

    サブネットを設計する際には、トラフィック・フローとセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能する同じサブネットにアタッチします。

    リージョナル・サブネットを使用します。

    複数の環境およびアプリケーション用にこのアーキテクチャを拡張する場合は、サービス制限内のVCN当たりのLPGの最大数を確認します。

  • Palo Alto Networks VM - Seriesファイアウォール
    • アクティブ/アクティブ・クラスタをデプロイし、必要に応じてインスタンスを追加します。
    • 可能な場合は常に、最小または異なる可用性ドメインに個別のフォルト・ドメインをデプロイします。
    • すべてのVNICでMTUが9000に設定されていることを確認します。
    • VFIOインタフェースを利用します。
  • Palo Alto Networks VMシリーズファイアウォールセキュリティ管理
    • Oracle Cloud Infrastructureでホストされるデプロイメントを作成する場合は、管理専用のサブネットを作成します。
    • セキュリティ・リストまたはNSGを使用して、インターネットをソースとするポート443および22へのインバウンド・アクセスを制限し、セキュリティ・ポリシーを管理し、ログおよびイベントを表示します。
  • Palo Alto Networks VMシリーズのファイアウォールポリシー

    VMシリーズのファイアウォール・インスタンスで有効になっている、必要なネットワーク・アドレス変換ポリシーが構成されていることを確認します。必要なセキュリティ・ポリシー、ポートおよびプロトコルの最新情報は、「まとめの詳細」セクションのファイアウォールのドキュメントを参照してください。

注意事項

Palo Alto Networks VM - Series Firewallを使用してOracle Cloud Infrastructure上のOracle E-Business SuiteまたはPeopleSoftワークロードを保護する場合は、次の点を考慮してください。

  • パフォーマンス
    • コンピュート・シェイプによって決定される適切なインスタンス・サイズを選択することで、使用可能な最大スループット、CPU、RAMおよびインタフェース数が決まります。
    • 組織は、環境を通過するトラフィックのタイプを把握し、適切なリスク・レベルを決定し、必要に応じて適切なセキュリティ制御を適用する必要があります。有効なセキュリティ制御の様々な組合せがパフォーマンスに影響します。
    • FastConnectまたはVPNサービス専用のインタフェースを追加することを検討してください。
    • スループットを向上させ、より多くのネットワーク・インタフェースにアクセスするには、大規模なコンピュート・シェイプの使用を検討してください。
    • パフォーマンス・テストを実行して設計を検証すると、必要なパフォーマンスとスループットを維持できます。
  • SECURITY

    Palo Alto Networks VM - Series FirewallをOracle Cloud Infrastructureにデプロイすると、セキュリティ・ポリシー構成を一元化し、すべての物理および仮想Palo Alto Networks VM - Seriesインスタンスを監視できます。

  • 可用性
    • アーキテクチャを個別の地域にデプロイして、冗長性を最大化します。
    • オンプレミス・ネットワークとの冗長接続のために、関連する組織ネットワークを使用してサイト間VPNを構成します。
  • コスト
    • Palo Alto Networks VM - Series Firewallは、Oracle Cloud MarketplaceのBundle 1およびBundle 2のbring - you - own - license (BYOL)およびpay - as - you - goライセンス・モデルで使用できます。
      • バンドル1には、VMシリーズの容量ライセンス、脅威防止ライセンス、プレミアムサポートサービス内容が含まれています。
      • バンドル2には、脅威防止、WildFire、URLフィルタリング、DNSセキュリティ、GlobalProtectおよびプレミアム・サポート資格を含む完全なライセンスのスイートを備えたVMシリーズ容量ライセンスが含まれています。

デプロイ

Palo Alto Networks VM - Series Firewallは、Oracle Cloud Marketplaceを使用してOracle Cloud Infrastructureにデプロイできます。Githubからコードをダウンロードして、特定のビジネス要件にあわせてカスタマイズすることもできます。

Oracleでは、Oracle Cloud Marketplaceからアーキテクチャをデプロイすることをお薦めします。

  • Oracle Cloud Marketplaceのスタックを使用してデプロイします。
    1. アーキテクチャ図に示すように、必要なネットワーク・インフラストラクチャを設定します。「ハブアンドスポーク・ネットワーク・トポロジの設定」を参照してください。
    2. アプリケーション(Oracle E-Business SuiteまたはPeopleSoft)を環境にデプロイします。
    3. Oracle Cloud Marketplaceには、様々な構成およびライセンス要件の複数のリストがあります。たとえば、次のリスト機能には、独自のライセンス(BYOL)があります。選択したリストごとに、「Get App」をクリックし、画面に表示されるプロンプトに従います。
  • GitHubでTerraformコードを使用してデプロイします。
    1. GitHubリポジトリに移動します。
    2. リポジトリをローカル・コンピュータにクローニングまたはダウンロードします。
    3. READMEドキュメントの手順に従います。

まとめの問題

このアーキテクチャの機能および関連リソースの詳細を参照してください。