FortiGateを使用して、Oracle Cloud Infrastructureで実行されるワークロードを保護します
Oracle Cloud Infrastructure (OCI)は、エンタープライズ・クラウド・サービスを保護するために、最高クラスのセキュリティ・テクノロジおよび操作プロセスを提供します。ただし、クラウドのセキュリティは、共有責任モデルに基づいています。Oracleは、クラウド運用およびサービスを管理するデータ・センター施設、ハードウェア、ソフトウェアなどの基盤インフラストラクチャのセキュリティに対して責任を負います。お客様は、コンプライアンス義務を満たすために、ワークロードを保護し、サービスおよびアプリケーションを安全に構成する責任を負います。
企業は、新しいアプリケーションを構築して内部データ・センターを拡張し、最終的にはパブリック・クラウドの柔軟性を活用するために、Oracle第2世代のクラウド・インフラストラクチャに取り組んでいます。その同じ企業がFortinetに移行して、OCIのアプリケーションやデータを保護しています。
Fortinet Adaptive Cloud Securityソリューションは、クラウドベースのアプリケーションの多層セキュリティにより、オンプレミスのデータ・センターおよびクラウド環境全体のワークロードとアプリケーションを保護します。Fortinet Security Fabricは、データ・センターとクラウドにまたがって、セキュリティ対策の統合ビュー、ポリシー管理およびガバナンス・レポート用の単一コンソール、およびプライベート・クラウド、パブリック・クラウド、ハイブリッド・クラウドにわたる物理クラウド、仮想クラウド、またはクラウド・インフラストラクチャに関係なくイベント監視を提供します。
Fortinetソリューションは、Oracle Cloud Marketplaceのオンデマンド・リストとライセンス・持込み(BYOL)リストの両方で使用できます。
アーキテクチャ
このリファレンス・アーキテクチャは、組織が、FortiGateファイアウォールを使用してOCIにデプロイされたOracle E-Business SuiteやPeopleSoftなどのOracleアプリケーションを、動的ルーティング・ゲートウェイ(DRG)を使用した簡略化された設計で保護する方法を示しています。
これらのトラフィック・フローを保護するために、Fortinetでは、トラフィックが中継ハブを介してルーティングされ、複数の異なるネットワーク(スポーク)に接続されているハブおよびスポーク・トポロジを使用して、ネットワークをセグメント化することをお薦めします。高可用性FortiGateクラスタをデプロイしていることを確認します。インターネット、オンプレミス、またはOracle Services Networkとの間のスポーク間のすべてのトラフィックは、ハブを経由してルーティングされ、あらゆる規模の組織に対して次世代のファイアウォール機能を提供するFortinetのFortiGateファイアウォールで検査され、次世代のファイアウォール、内部セグメンテーション・ファイアウォールまたは仮想プライベート・ネットワーク(VPN)ゲートウェイとしてデプロイできる柔軟性を備えています。高パフォーマンス、セキュリティ効果、および高度な可視性でサイバー脅威から保護します。
アプリケーションの各層を、スポークとして機能する独自の仮想クラウド・ネットワーク(VCN)にデプロイします。ハブVCNには、FortiGateアクティブ-パッシブ、高可用性クラスタ、Oracleインターネット・ゲートウェイ、DRGおよびOracle Service Gatewayが含まれています。
このアーキテクチャは、複数のスポークを接続するための拡張性とモジュール設計であり、各スポーク・ネットワークはWeb、アプリケーション、データベースなどの1つのアプリケーションの層を表します。本番、テスト、開発などの1つの環境、およびリージョン、オンプレミス・データ・センター、マルチクラウドなどの様々なインフラストラクチャで機能します。
ハブVCNは、DRGを介してスポークCNに接続します。すべてのスポーク・トラフィックは、ルート表ルールを使用して、VCNイングレス・ルート表を使用してDRGを経由してハブにトラフィックをルーティングし、検査のためにFortiGateファイアウォールを使用します。
FortiManagerを使用して、FortiGateファイアウォールを管理することもできます。FortiManagerの単一ペイン管理は、Fortinetのセキュリティ・ファブリックに基づいて構築された集中管理とプロビジョニング戦略を提供します。この戦略は、組織のネットワーク・インフラストラクチャとセキュリティ・アーキテクチャを緊密に統合して、デバイス、アプリケーション、ユーザーのアクセス制御、セグメンテーション、一貫した保護を適用します。
次の図は、このリファレンス・アーキテクチャを示しています。
- 南北インバウンド・トラフィック
次の図は、南北のインバウンド・トラフィックがインターネットおよびリモート・データ・センターからWebアプリケーション層にアクセスする方法を示しています。
- 南北交通
次の図は、Webアプリケーション層およびデータベース層からインターネットへの送信接続が、外部Webサービスへのソフトウェア更新およびアクセスを提供する方法を示しています。
- 東西トラフィック(Webからデータベース)
次の図は、Webアプリケーションからデータベース層へのトラフィックの移動方法を示しています。
- 東西トラフィック(データベースからWeb)
次の図は、データベース層からWebアプリケーションへのトラフィックの移動方法を示しています。
- 東西トラフィック(WebアプリケーションからOracle Services Network)
次の図は、トラフィックがWebアプリケーションからOracle Services Networkにどのように移動するかを示しています。
- 東西トラフィック(Oracle Services Network to Web Application)
次の図は、Oracle Services NetworkからWebアプリケーションへのトラフィックの移動方法を示しています。
- Fortinet FortiGate次世代ファイアウォール
内部セグメントおよびミッションクリティカルな環境を保護するための脅威保護、SSL検査、超低レイテンシなどのネットワークおよびセキュリティ・サービスを提供します。パフォーマンスを向上させるために、直接シングルルートI/O仮想化(SR-IOV)をサポートします。FortiGateは、Oracle Cloud Marketplaceから直接デプロイできます。
- Fortinet FortiManager
ネットワーク全体の一元管理を実現し、ネットワーク・アクティビティにリアルタイムかつ履歴ビューを提供します。
- Oracle E-Business SuiteまたはPeopleSoftアプリケーション層
Oracle E-Business SuiteまたはPeopleSoftアプリケーション・サーバーとファイル・システムで構成されます。
- Oracle E-Business SuiteまたはPeopleSoftデータベース層
Oracle Databaseサービスで構成されていますが、Oracle Exadata Database CloudサービスまたはOracle Databaseに限定されるわけではありません。
- リージョン
OCIリージョンは、可用性ドメインと呼ばれる、1つ以上のデータ・センターを含むローカライズされた地理的領域です。リージョンは他のリージョンから独立し、広大な距離(国または大陸間)を分離できます。
- 可用性ドメイン
可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。可用性ドメインでは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラストラクチャは共有されません。そのため、ある可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響することはほとんどありません。
- フォルト・ドメイン
フォルト・ドメインは、アベイラビリティ・ドメイン内のハードウェアおよびインフラストラクチャのグループ。各可用性ドメインには、独立した電源とハードウェアを備えた3つのフォルト・ドメインがあります。複数のフォルト・ドメインにリソースを分散すると、アプリケーションは物理サーバーの障害、システム・メンテナンスおよびフォルト・ドメイン内の電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)とサブネット
VCNは、OCIリージョンで設定する、カスタマイズ可能なソフトウェア定義ネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境を完全に制御できます。VCNには複数の重複しないCIDRブロックを含めることができ、VCNの作成後に変更できます。VCNをサブネットに分割できます。サブネットは、リージョンまたは可用性ドメインにスコープ指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続したアドレスの範囲で構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックまたはプライベートにできます。
- Hub VCN
ハブVCNは、Fortinet FortiGateファイアウォール・インスタンスがデプロイされる集中ネットワークです。すべてのスポークCN、OCIサービス、パブリック・エンドポイントとクライアント、およびオンプレミス・データ・センター・ネットワークへのセキュアな接続を提供します。
- アプリケーション層スポークVCN
アプリケーション層スポークVCNには、Oracle E-Business SuiteまたはPeopleSoftコンポーネントをホストするプライベート・サブネットが含まれています。
- データベース層がVCNをスポーク
データベース層スポークVCNには、Oracleデータベースをホスティングするためのプライベート・サブネットが含まれています。
- ロード・バランサ
OCI Load Balancingサービスは、1つのエントリ・ポイントからバックエンド内の複数のサーバーへの自動トラフィック分散を提供します。
- セキュリティ・リスト
サブネットごとに、サブネット内外で許可されるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- ルート表 仮想ルート表には、サブネットからVCNの外部の宛先(通常はゲートウェイ経由)にトラフィックをルーティングするルールが含まれています。ハブVCNには、次のルート表があります。
- デフォルト・ルートがインターネット・ゲートウェイに接続された、管理サブネットにアタッチされた管理ルート表
- ハブVCNからインターネットまたはオンプレミス・ターゲットにトラフィックをルーティングするために、信頼できないサブネットまたはデフォルトのVCNにアタッチされた信頼できないルート表。このルート表には、動的ルーティング・ゲートウェイを介した各スポークVCブロック・ルートのエントリもあります。
- 動的ルーティング・ゲートウェイを介してスポークVCブロックを指し示す信頼サブネットにアタッチされた信頼ルート表
- トラフィックを送信するCIDRブロックに高可用性サブネットにアタッチされた高可用性ルート表
- ハブVCNイングレス・ルート表は、スポークVCNから動的ルーティング・ゲートウェイを介して受信トラフィックをFortiGateファイアウォールのトラスト・インタフェースにフローティングIPを送信するハブVCNアタッチメントにアタッチされています
- 動的ルーティング・ゲートウェイを介してハブにアタッチされたスポークごとに、個別のルート表が定義され、関連付けられたサブネットにアタッチされます。そのルート表は、関連するスポークVCNからすべてのトラフィック(0.0.0.0/0)を、FortiGateファイアウォールの信頼インタフェース・フローティングIPを介して動的ルーティング・ゲートウェイに転送します。
- Oracle Service Network通信用のOracleサービス・ゲートウェイにアタッチされたOracleサービス・ゲートウェイのルート表。このルートは、すべてのトラフィック(0.0.0.0/0)をFortiGateファイアウォールの信頼インタフェース(浮動IP)に転送します。
- インターネット・ゲートウェイ
インターネット・ゲートウェイを使用すると、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。
- NATゲートウェイ
NATゲートウェイを使用すると、VCN内のプライベート・リソースで、それらのリソースを受信インターネット接続に公開することなく、インターネット上のホストにアクセスできます。
- 動的ルーティング・ゲートウェイ(DRG)
DRGは、別のOCIリージョン内のVCN、オンプレミス・ネットワーク、または別のクラウド・プロバイダのネットワークなど、VCNとリージョン外のネットワーク間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOCIオブジェクト・ストレージなどの他のサービスへのアクセスを提供します。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。
- FastConnect
OCI FastConnectは、データ・センターとOCI間の専用プライベート接続を簡単に作成する方法を提供します。FastConnectは、高帯域幅オプションを提供し、インターネットベースの接続と比較してより信頼性の高いネットワーク・エクスペリエンスを提供します。
- 仮想ネットワークインタフェースカード(VNIC)
OCIデータ・センターのサービスには、物理ネットワーク・インタフェース・カード(NIC)があります。仮想マシン(VM)インスタンスは、物理NICに関連付けられた仮想NIC (VNIC)を使用して通信します。各インスタンスには、起動時に自動的に作成およびアタッチされるプライマリVNICがあり、インスタンスの存続期間中に使用できます。DHCPはプライマリVNICにのみ提供されます。インスタンスの起動後にセカンダリVNICを追加できます。インタフェースごとに静的IPを設定します。
- プライベートIP
インスタンスのアドレス指定に関するプライベートIPv4アドレスおよび関連情報。各VNICにはプライマリ・プライベートIPがあり、セカンダリ・プライベートIPを追加および削除できます。インスタンスのプライマリ・プライベートIPアドレスは、インスタンスの起動時にアタッチされ、インスタンスの存続期間中は変更されません。セカンダリIPは、VNICのサブネットの同じCIDRにも属しています。セカンダリIPは、同じサブネット内の異なるインスタンス上の異なるVNIC間で移動できるため、浮動IPとして使用されます。別のサービスをホストするための別のエンドポイントとして使用することもできます。
- パブリックIP
ネットワーク・サービスは、プライベートIPにマップされるOracleによって選択されたパブリックIPv4アドレスを定義します。パブリックIPには次のタイプがあります。エフェメラル:このアドレスは一時的なもので、インスタンスの存続期間に存在します。予約済:このアドレスはインスタンスの存続期間を超えて持続します。割当てを解除し、別のインスタンスに再割当てできます。
- ソースおよび宛先チェック
すべてのVNICがネットワーク・トラフィックに対してソースおよび宛先チェックを実行します。このフラグを無効にすると、Fortinet FortiGateファイアウォールは、ファイアウォールのターゲットになっていないネットワーク・トラフィックを処理できます。
- コンピュート・シェイプ
コンピュート・インスタンスのシェイプでは、CPUの数およびインスタンスに割り当てるメモリー量を指定します。コンピュート・シェイプによって、コンピュート・インスタンスで使用可能なVNICの数および最大帯域幅も決まります。
推奨
- VCN
VCNを作成する際、VCNのサブネットにアタッチする予定のリソース数に基づいて、必要なCIDRブロックの数および各ブロックのサイズを決定します。標準プライベートIPアドレス領域内にあるCIDRブロックを使用します。
プライベート接続を設定する予定のその他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
サブネットを設計する際は、トラフィック・フローおよびセキュリティ要件を考慮してください。セキュリティ境界として機能する、特定の層またはロール内のすべてのリソースを同じサブネットにアタッチします。
リージョナル・サブネットを使用します。必要に応じてスポークCNをアタッチして、ハブVCN FortiGateファイアウォールにトラフィックを送信できるようにします。ファイアウォール・ルート表から動的ルーティング・ゲートウェイの各VCNアタッチメントまでの間およびファイアウォール・ルート表を定義します。
- Fortinet FortiGate Firewall
- アクティブ/パッシブ・クラスタをデプロイし、必要に応じてインスタンスを追加します。
- 可能な場合は常に、少なくとも異なる可用性ドメインで個別のフォルト・ドメインにデプロイします。
- すべてのVNICでMTUが9000に設定されていることを確認します。
- 仮想機能I/O (VFIO)インタフェースを使用します。
- Fortinet FortiGate Firewall Management
- OCIでホストされたデプロイメントを作成する場合は、管理用の専用サブネットを作成します。
- セキュリティ・ポリシーの管理およびログとイベントの表示のために、インターネットからソーシングされたポート443および22へのインバウンド・アクセスを制限するには、セキュリティ・リストまたはNSGを使用します。
- ファイアウォール・ポリシー
必要なセキュリティ・ポリシー、ポートおよびプロトコルの最新情報については、「詳細の確認」セクションのファイアウォールのドキュメントを参照してください。最新の状態を維持することで、Fortinet FortiGateファイアウォール・インスタンスで有効なネットワーク・アドレス変換ポリシー/セキュリティ・ポリシーを構成済であることが保証されます。
注意事項
Fortinet FortiGate Firewallを使用してOCIでOracle E-Business SuiteまたはPeopleSoftワークロードを保護する場合は、次の要因を考慮してください。
- パフォーマンス
- 適切なインスタンス・サイズ(コンピュート・シェイプによって決定される)を選択すると、使用可能な最大スループット、CPU、RAMおよびインタフェース数が決まります。
- 組織は、環境をトラバースするトラフィックのタイプを把握し、適切なリスク・レベルを決定し、必要に応じて適切なセキュリティ制御を適用する必要があります。使用可能なセキュリティ制御の異なる組合せは、パフォーマンスに影響します。
- FastConnectまたはVPNサービスに専用インタフェースを追加することを検討してください。大規模なコンピュート・シェイプを使用してスループットを向上し、より多くのネットワーク・インタフェースにアクセスすることを検討してください。
- パフォーマンス・テストを実行して設計を検証すると、必要なパフォーマンスおよびスループットを維持できます。
- セキュリティ
OCIにFortinet FortiManagerを導入することで、一元化されたセキュリティ・ポリシー構成と、すべての物理および仮想のFortinet FortiGateファイアウォールの監視が可能になります。
- 可用性
冗長性を最大限に高めるために、アーキテクチャを個別の地理的リージョンに配置します。オンプレミス・ネットワークとの冗長接続のために、関連する組織ネットワークを備えたサイト間VPNを構成します。
- コスト
Fortinet FortiGateは、Oracle Cloud Marketplaceでpay-as-you-go方式またはBring-your-own-license (BYOL)のリストを提供しており、Oracle Cloud MarketplaceのBYOLリストでFortiManagerをご利用いただけます。
デプロイ
- Oracle Cloud Marketplaceのスタックを使用してデプロイします:
- アーキテクチャの図に示すように、必要なネットワーク・インフラストラクチャを設定します。
- 環境にアプリケーション(Oracle E-Business SuiteまたはPeopleSoft)をデプロイします。
- Oracle Cloud Marketplaceには、構成とライセンスのさまざまな要件に対応する複数のリストがあります。たとえば、次のリスト機能によって独自のライセンスが提供されます(BYOL)。選択したリストごとに、「アプリケーションの取得」をクリックし、画面上のプロンプトに従います。
- GitHubでTerraformコードを使用してデプロイ:
- GitHubに移動します。
- ローカル・コンピュータにリポジトリをクローニングまたはダウンロードします。
READMEドキュメントの指示に従います。